Investigadores de ciberseguridad han descubierto que se ha observado a un actor de amenazas previamente indocumentado conocido como TA585 distribuyendo malware disponible en el mercado llamado MonsterV2 a través de campañas de phishing.
El equipo de Proofpoint Threat Research describió este grupo de actividad de amenazas como sofisticado, que aprovecha las inyecciones web y las comprobaciones de filtrado como parte de la cadena de ataque.
«TA585 es digno de mención porque parece poseer toda la cadena de ataque utilizando múltiples técnicas de entrega», dijeron los investigadores Kyle Cucci, Tommy Magyar y Selena Larson. «En lugar de depender de otros actores de amenazas, como pagar tarifas de distribución, comprar acceso a un corredor de acceso inicial o utilizar sistemas de entrega de tráfico de terceros, TA585 administra su propia infraestructura, distribución e instalación de malware».
MonsterV2 es un troyano de acceso remoto (RAT), ladrón y cargador que Proofpoint observó por primera vez anunciado en foros criminales en febrero de 2025. Vale la pena señalar que MonsterV2 también se conoce como Aurotun Stealer (un error ortográfico de «autorun») y anteriormente se distribuía a través de CastleLoader (también conocido como CastleBot).
Se han observado campañas de phishing que distribuyen este malware utilizando señuelos con temática del Servicio de Impuestos Internos (IRS) para engañar a los usuarios para que hagan clic en una URL falsa que lleva a un PDF, que a su vez enlaza a una página web que emplea tácticas de ingeniería social ClickFix y activa la infección ejecutando comandos maliciosos en el cuadro de diálogo Ejecutar de Windows o en la terminal PowerShell. Los comandos de PowerShell están diseñados para ejecutar scripts de PowerShell para la siguiente etapa de implementación de MonsterV2.
Una ola posterior de ataques detectada en abril de 2025 se basó en la inyección de JavaScript malicioso en sitios web legítimos que proporcionaban superposiciones de validación CAPTCHA falsas para lanzar ataques a través de ClickFix y, en última instancia, conducir a la entrega de malware a través de comandos de PowerShell.
La primera iteración de esta campaña distribuyó Lumma Stealer antes de que TA585 cambiara a MonsterV2 a principios de 2025. Curiosamente, la inyección de JavaScript y la infraestructura relacionada (intlspring(.)com) también están vinculadas a la distribución de Rhadamanthys Stealer.
En la tercera campaña realizada por TA585, etiquetar a un usuario de GitHub con una notificación de seguridad falsa que contiene una URL que conduce a un sitio web controlado por un atacante activa una notificación por correo electrónico de GitHub.
Ambos grupos de actividad centrados en inyecciones web y alertas falsas de GitHub están asociados con CoreSecThree. Según PRODAFT, CoreSecThree es un «marco sofisticado» que se sabe que está activo desde febrero de 2022 y se utiliza «consistentemente» para propagar malware ladrón.
MonsterV2 es un malware con todas las funciones que puede robar datos confidenciales, actuar como un cortapelos reemplazando direcciones de criptomonedas en el portapapeles del sistema infectado con direcciones de billetera proporcionadas por actores de amenazas, establecer control remoto usando Hidden Virtual Network Computing (HVNC), recibir y ejecutar comandos desde servidores externos y descargar cargas útiles adicionales.
El malware está siendo vendido por atacantes de habla rusa por 800 dólares al mes para la edición «Standard», mientras que la versión «Enterprise», que viene con un ladrón, cargador, HVNC y soporte Chrome DevTools Protocol (CDP), cuesta 2.000 dólares al mes. Lo destacable de este ladrón es que evita infectar a los países de la Comunidad de Estados Independientes (CEI).
MonsterV2 normalmente se empaqueta con una herramienta de cifrado C++ llamada SonicCrypt, que le permite evadir la detección ejecutando una serie de comprobaciones antianálisis antes de descifrar y cargar la carga útil.
Una vez lanzado, el malware no sólo aumenta sus privilegios, sino que también descifra y resuelve funciones API de Windows esenciales para su funcionalidad. Luego decodifica la configuración integrada y se conecta a un servidor de comando y control (C2) para determinar su próximo curso de acción en función de los parámetros configurados.
anti_dbg, cuando se establece en True, el malware intentará detectar y evitar el depurador en uso anti_sandbox, cuando se establece en True, el malware intentará detectar el sandbox y ejecutar algunas técnicas rudimentarias anti-sandbox aurotun (este error ortográfico le dio el nombre de Aurotun Stealer). Si se establece en True, el malware intentará establecer la persistencia en el host. Si priviledge_escalation se establece en True, el malware intentará escalar los privilegios.
Una vez que el malware establece con éxito una conexión con el servidor C2, envía una solicitud a ‘api.ipify(.)org’ para enviar información básica del sistema e información de geolocalización del sistema. La respuesta del servidor contiene comandos que se ejecutarán en el host. Algunas de las funciones compatibles se enumeran a continuación.
Ejecutar funciones de robo de información y extraer datos al servidor Ejecutar comandos arbitrarios a través de cmd.exe o PowerShell Terminar, pausar o reanudar el proceso de destino Establecer una conexión HVNC con el sistema infectado Tomar una captura de pantalla del escritorio Iniciar un registrador de teclas Enumerar, manipular, copiar o extraer archivos Apagar o bloquear el sistema Descargar y ejecutar cargas útiles de la siguiente etapa, como StealC Remkos RAT
«Sin embargo, esta actividad no se correlacionó con TA585. Específicamente, en el caso de StealC, la carga útil MonsterV2 se configuró para usar el mismo servidor C2 que la carga útil StealC eliminada», dijo Proofpoint. «TA585 es un adversario único con capacidades avanzadas de orientación y entrega. Dado que el panorama de amenazas de delitos cibernéticos cambia constantemente, TA585 emplea estrategias efectivas para el filtrado, la entrega y la instalación de malware».
Source link
