El actor de amenaza de motivación financiera conocido como CiCryPThub (también conocido como Larva-208 y Water Gamayun) se atribuye a una nueva campaña dirigida a que los desarrolladores de Web3 se infecten con malware del robador de información.
«Larva-208 utiliza plataformas de IA falsas (como Norlax AI, IMitaciones de Pilot de Team) para evolucionar tácticas e invitar a las víctimas con publicaciones de trabajo o solicitudes de revisión de cartera».
El grupo tiene un historial de implementación de ransomware, pero los últimos hallazgos muestran la evolución de sus tácticas y diversificando cómo monetiza mediante el uso de malware de robador para recopilar datos de las billeteras de criptomonedas.
El enfoque de CiCryPTHUB, que se centra en los desarrolladores de Web3, no es aleatorio. Estas personas a menudo administran billeteras de cifrado, acceso al repositorio de contratos inteligentes o entornos de prueba confidenciales. Muchos operan como trabajadores independientes o trabajan en múltiples proyectos descentralizados, lo que dificulta la protección con los controles de seguridad empresariales tradicionales. Esta comunidad de desarrolladores descentralizada de alto valor proporciona un objetivo ideal para los atacantes que buscan monetizar rápidamente sin desencadenar defensas centralizadas.
La cadena de ataque debe dirigir los objetivos potenciales a la plataforma engañosa de inteligencia artificial (IA) y dirigirlos a hacer clic en enlaces de agregación dentro de estos sitios.
Los enlaces de reuniones a estos sitios se envían a los desarrolladores que siguen el contenido relacionado con Web3 y blockchain a través de plataformas como X y Telegram, bajo el pretexto de entrevistas de trabajo y discusiones de cartera. Resulta que los actores de amenaza están enviando enlaces a las reuniones a aquellos que solicitaron puestos que publicaron en el tablero de trabajo de Web3 llamado Remote3.
Lo interesante es el enfoque que usan los atacantes para evitar advertencias de seguridad emitidas por Remote3 en su sitio. Dado que el servicio advierte explícitamente a los solicitantes de empleo contra descargas de software de videoconferencia desconocidos, el atacante tendrá su primera conversación a través de Google Meet, mientras tanto, instruye al solicitante que reanude entrevistas con Norlax AI.
Independientemente del método utilizado, cuando la víctima hace clic en el enlace de la reunión, se le pide que ingrese su dirección de correo electrónico y código de invitación, y luego se le proporciona un mensaje de error falso sobre un controlador de audio anticuado o faltante.
Al hacer clic en el mensaje, lo llevará a descargar software malicioso disfrazado de un controlador de audio Real Realtek HD. Esto ejecutará el comando PowerShell para obtener y expandir el roble. La información recopilada por el malware del robador se envía a un servidor externo con nombre en código SilentPrism.
«Los actores de amenaza pueden distribuir infantes caprichosos a través de aplicaciones falsas de IA y cosechar con éxito billeteras de criptomonedas, calificaciones de desarrollo y datos confidenciales de proyectos», dijo ProDaft.
«Esta última operación sugiere un cambio hacia estrategias de monetización alternativas que incluyen la eliminación de datos valiosos y credenciales para una posible reventa o explotación en mercados ilegales».
El desarrollo es un intento de enriquecer la visibilidad y la confiabilidad siguiendo el estilo del Grupo de Ransomware Akira y un formato de nota de rescate similar como Qilin, como SpiderLabs Trustwave que detalla un nuevo stock de ransomware llamado Kawa4096.
Kawa4096, que apareció por primera vez en junio de 2025, se dirige a 11 compañías, con la mayor cantidad de objetivos en los Estados Unidos y Japón. Se desconoce el vector de acceso inicial utilizado en el ataque.
Las características notables de Kawa4096 son la capacidad de cifrar archivos en una unidad de red compartida y la capacidad de usar múltiples subprocesos para aumentar la eficiencia operativa y acelerar el proceso de escaneo y cifrado.
«Después de identificar archivos válidos, el ransomware los agrega a la cola compartida», dijeron los investigadores de seguridad Nathaniel Morales y John Basmayor. «Esta cola es procesada por un grupo de hilos de trabajadores responsables de obtener la ruta del archivo y pasarla a la rutina de cifrado. El semáforo se usa para la sincronización entre hilos para garantizar un procesamiento eficiente de la cola de archivos».
Otro nuevo participante del paisaje de ransomware está en el corazón, alegando que esto es parte del Grupo Blackbyte, que se desarrolla enormemente en tres incidentes detectados por cazante los días 4 y 13 de julio de 2025.
En un incidente, se sabe que los actores de amenaza aprovechan las credenciales válidas a través de RDP para obtener andamios para la red de destino. Todos los ataques tienen en común con las herramientas legítimas de Windows como SVChost.exe y BCDedit.exe para modificar la configuración de arranque para ocultar comandos maliciosos y bloquear la recuperación del sistema.
«Los actores de amenaza también prefieren claramente procesos legítimos como bcdedit.exe y svchost.exe, por lo que el monitoreo continuo de comportamientos sospechosos utilizando estos procesos a través de la detección y respuesta del punto final (EDR) ayuda a atacar a los actores de amenaza ambiental», dijo Huntress.
Source link
