Una nueva campaña de phishing de múltiples etapas ha sido detectada atacando a usuarios en Rusia, empleando ransomware y un troyano de acceso remoto (RAT) conocido como Amnesia RAT. Según Fortinet FortiGuard Labs, el ataque comienza con señuelos de ingeniería social distribuidos mediante documentos con temática empresarial diseñados para parecer rutinarios e inofensivos. Estos documentos y scripts asociados actúan como distracciones visuales, desviando a las víctimas hacia tareas falsas o mensajes de estado mientras la actividad maliciosa se ejecuta en segundo plano.
La campaña destaca por varias razones. Primero, utiliza múltiples servicios en la nube públicos para distribuir diferentes tipos de payloads. Mientras que GitHub se usa principalmente para distribuir scripts, los payloads binarios se alojan en Dropbox. Esta separación complica los esfuerzos de eliminación, mejorando la resiliencia. Otra característica definitoria es el abuso operativo de defendnot para deshabilitar Microsoft Defender. Defendnot fue lanzado el año pasado por un investigador de seguridad bajo el alias es3n1n, engañando al programa de seguridad para que crea que otro antivirus ya está instalado en el sistema Windows.
La campaña utiliza ingeniería social para distribuir archivos comprimidos que contienen múltiples documentos señuelo y un acceso directo malicioso de Windows (LNK) con nombres de archivo en ruso. El archivo LNK usa una doble extensión ("Задание_для_бухгалтера_02отдела.txt.lnk") para aparentar ser un archivo de texto. Al ejecutarse, lanza un comando de PowerShell que recupera un script de PowerShell de segunda etapa alojado en un repositorio de GitHub ("github[.]com/Mafin111/MafinREP111"), que sirve como cargador de primera etapa para establecer una base, preparar el sistema para ocultar evidencia de actividad maliciosa y transferir el control a etapas posteriores.
El script primero suprime la ejecución visible ocultando programáticamente la ventana de la consola de PowerShell, eliminando indicadores visuales inmediatos de que un script se está ejecutando. Luego genera un documento de texto señuelo en el directorio de datos de aplicación local del usuario, que se abre automáticamente al escribirse en disco. Una vez que el documento se muestra a la víctima para mantener el engaño, el script envía un mensaje al atacante utilizando la API de Telegram Bot, informando que la primera etapa se ha ejecutado con éxito. Después de una demora deliberada de 444 segundos, el script de PowerShell ejecuta un script de Visual Basic ("SCRRC4ryuk.vbe") alojado en el mismo repositorio.
Esto ofrece dos ventajas cruciales: mantiene el cargador ligero y permite a los actores de amenazas actualizar o reemplazar la funcionalidad del payload sobre la marcha sin introducir cambios en la cadena de ataque. El script de Visual Basic está altamente ofuscado y actúa como controlador que ensambla el payload de la siguiente etapa directamente en memoria, evitando dejar artefactos en disco. El script de la etapa final verifica si se ejecuta con privilegios elevados y, si no es así, muestra repetidamente un aviso de Control de Cuentas de Usuario (UAC) para forzar a la víctima a otorgar los permisos necesarios, con una pausa de 3000 milisegundos entre intentos.
En la fase siguiente, el malware inicia una serie de acciones para suprimir la visibilidad, neutralizar los mecanismos de protección del endpoint, realizar reconocimiento, inhibir la recuperación y finalmente desplegar los payloads principales. Estas acciones incluyen: configurar exclusiones de Microsoft Defender para evitar que escanee directorios como ProgramData, Program Files, Desktop, Downloads y la carpeta temporal del sistema; usar PowerShell para desactivar componentes adicionales de protección de Defender; implementar defendnot para registrar un producto antivirus falso en la interfaz de Windows Security Center, provocando que Microsoft Defender se deshabilite para evitar conflictos; realizar reconocimiento del entorno y vigilancia mediante capturas de pantalla cada 30 segundos usando un módulo .NET descargado de GitHub, que guarda las imágenes en formato PNG y las exfiltra mediante un bot de Telegram; deshabilitar herramientas administrativas y de diagnóstico de Windows alterando controles de políticas basados en el registro; e implementar un mecanismo de secuestro de asociación de archivos para que al abrir archivos con ciertas extensiones predefinidas se muestre un mensaje instruyendo a la víctima a contactar al atacante por Telegram.
Uno de los payloads finales desplegados tras desarmar los controles de seguridad y los mecanismos de recuperación es Amnesia RAT ("svchost.scr"), recuperado de Dropbox y capaz de robar datos ampliamente y control remoto. Está diseñado para extraer información almacenada en navegadores web, billeteras de criptomonedas, Discord, Steam y Telegram, junto con metadatos del sistema, capturas de pantalla, imágenes de la cámara web, audio del micrófono, portapapeles y el título de la ventana activa. Según Fortinet, el RAT permite interacción remota completa, incluyendo enumeración y terminación de procesos, ejecución de comandos de shell, despliegue de payloads arbitrarios y ejecución de malware adicional. La exfiltración se realiza principalmente a través de HTTPS utilizando APIs de Telegram Bot. Los conjuntos de datos más grandes pueden subirse a servicios de alojamiento de archivos de terceros como GoFile, cuyos enlaces de descarga se envían al atacante vía Telegram. En conjunto, Amnesia RAT facilita el robo de credenciales, el secuestro de sesiones, el fraude financiero y la recopilación de datos en tiempo real, convirtiéndolo en una herramienta integral para la toma de cuentas y ataques posteriores.
El segundo payload entregado por el script es un ransomware derivado de la familia Hakuna Matata, configurado para cifrar documentos, archivos, imágenes, medios, código fuente y activos de aplicaciones en el endpoint infectado, pero antes de terminar cualquier proceso que pueda interferir con su funcionamiento. Además, el ransomware monitorea el contenido del portapapeles y modifica silenciosamente las direcciones de billeteras de criptomonedas por direcciones controladas por el atacante para redirigir transacciones. La secuencia de infección finaliza con el script desplegando WinLocker para restringir la interacción del usuario. Lin concluyó que esta cadena de ataque demuestra cómo las campañas modernas de malware pueden lograr un compromiso completo del sistema sin explotar vulnerabilidades de software, abusando sistemáticamente de las características nativas de Windows, herramientas administrativas y mecanismos de aplicación de políticas.
Para contrarrestar el abuso de defendnot en la API del Windows Security Center, Microsoft recomienda que los usuarios activen la Protección contra manipulaciones (Tamper Protection) para evitar cambios no autorizados en la configuración de Defender, y monitoreen llamadas API sospechosas o cambios en el servicio de Defender. Este desarrollo se produce en un contexto donde entidades corporativas rusas, específicamente departamentos de recursos humanos, nóminas y administración interna, han sido atacadas por el actor de amenazas UNG0902 para distribuir un implante desconocido llamado DUPERUNNER, que carga AdaptixC2, un marco de comando y control (C2). La campaña de spear-phishing, denominada Operación DupeHike, ha estado activa desde noviembre de 2025. Seqrite Labs informó que los ataques utilizan documentos señuelo centrados en temas de bonificaciones para empleados y políticas financieras internas para convencer a los destinatarios de abrir un archivo LNK malicioso dentro de archivos ZIP, lo que lleva a la ejecución de DUPERUNNER. El implante se conecta a un servidor externo para obtener y mostrar un documento PDF señuelo, mientras que la elaboración de perfiles del sistema y la descarga del beacon de AdaptixC2 se realizan en segundo plano.
En los últimos meses, las organizaciones rusas también han sido probablemente atacadas por otro actor de amenazas rastreado como Paper Werewolf (también conocido como GOFFEE), que ha empleado señuelos generados por inteligencia artificial (IA) y archivos DLL compilados como complementos XLL de Excel para distribuir una puerta trasera llamada EchoGather. Según la investigadora de seguridad de Intezer, Nicole Fishbein, una vez lanzada, la puerta trasera recopila información del sistema, se comunica con un servidor C2 codificado y admite operaciones de ejecución de comandos y transferencia de archivos, comunicándose con el C2 a través de HTTP(S) usando la API WinHTTP.
