Varios actores de ransomware han utilizado malware llamado Skitnet como parte de sus esfuerzos posteriores a la explosión para robar datos confidenciales y establecer un control remoto sobre los hosts comprometidos.
«Sketnet ha estado a la venta en foros subterráneos como Ramp desde abril de 2024», dijo la compañía suiza de ciberseguridad Productaft a The Hacker News. «Pero desde principios de 2025, hemos visto múltiples operadores de ransomware que lo usan en ataques reales».
«Por ejemplo, en abril de 2025, Blackbusta aprovechó la sketnnet en una campaña de phishing con temática de equipo dirigida a entornos empresariales. Sus capacidades sigilosas y arquitectura flexible hacen que parezca que Skitnet está ganando tracción rápida dentro del ecosistema de ransomware».
Skitnet, también conocida como Bossnet, es un malware de varias etapas desarrollado por un actor de amenaza rastreado por la compañía bajo el nombre Larva-306. Un aspecto notable de las herramientas maliciosas es que usan lenguajes de programación como Rust y NIM para lanzar capas inversas sobre DNS para evitar la detección.
También está integrado en las amenazas versátiles, incluidos los mecanismos de persistencia, las herramientas de acceso remoto, los comandos de eliminación de datos e incluso la descarga de binarios del cargador .NET que pueden usarse para proporcionar cargas útiles adicionales.
Promocionado por primera vez el 19 de abril de 2024, Skitnet se ofrecerá a los clientes potenciales como un «paquete compacto» que contiene componentes del servidor y malware. El primer ejecutable es un binario de óxido que descifra y ejecuta una carga útil integrada compilada con NIM.
«La característica principal de este binario NIM es establecer una conexión inversa con un servidor C2 (comando y control) a través de la resolución DNS», dijo ProDaft. «Para evitar la detección, use la función GetProcaddress para resolver dinámicamente las direcciones de la función API en lugar de usar tablas de importación tradicionales».
Los binarios basados en NIM también lanzan múltiples hilos, envían solicitudes DNS cada 10 segundos, leen respuestas DNS, extraen comandos para ejecutarse en el host y devuelva los resultados de la ejecución del comando al servidor. El comando se emite a través del panel C2, que se utiliza para administrar hosts infectados.
Algunos de los comandos de PowerShell compatibles se enumeran a continuación –
El inicio garantiza la persistencia creando accesos directos en el directorio de inicio en la pantalla del dispositivo de la víctima. Esto captura una captura de pantalla del escritorio de la víctima Anydesk/Rutserv. Productos de seguridad instalados
«Skitnet es malware de varias etapas que utiliza múltiples lenguajes de programación y tecnologías de cifrado», dijo Productft. «El malware trata de eludir las medidas de seguridad tradicionales mediante el uso de óxido para el descifrado de carga útil y el mapeo manual, seguido de un caparazón inverso basado en NIM que se comunica con el DNS».
Esta divulgación se debe a que Zscaler amenazlabz detalla que otro cargador de malware llamado otro cargador de malware utilizado para proporcionar cepas de ransomware llamadas Morpheus, a las que se dirige a las firmas de abogados estadounidenses.
Activo desde al menos febrero de 2025, TransferLoader incorpora tres componentes para puertas traseras, un descargador, una puerta trasera y un cargador especial, lo que permite a los actores de amenaza ejecutar comandos arbitrarios en el sistema comprometido.
El descargador está diseñado para recuperar y ejecutar la carga útil desde el servidor C2, y ejecutar el archivo PDF Decoy al mismo tiempo, pero la puerta trasera es responsable de ejecutar los comandos emitidos por el servidor y actualizar su propia configuración.
«Backdoor utiliza una plataforma entre el sistema de archivos interplanetario (IPFS) distribuido (IPFS) como un canal de retroceso para actualizar servidores de comando y control (C2)», dijo la compañía de seguridad cibernética. «Los desarrolladores de TransferLoader utilizan métodos de ofuscación para hacer que el proceso de ingeniería inversa sea aún más aburrido».
Source link
