Según los hallazgos de Kaspersky Lab, las organizaciones gubernamentales, financieras e industriales de Asia, África y América Latina están siendo el objetivo de una nueva campaña llamada «PassiveNeuron».
La campaña de ciberespionaje fue denunciada por primera vez por un proveedor de ciberseguridad ruso en noviembre de 2024, y en junio reveló una serie de ataques dirigidos a agencias gubernamentales en América Latina y Asia Oriental utilizando una familia de malware nunca antes vista rastreada como Neursite y NeuralExecutor.
También dijo que la operación demostró un alto grado de sofisticación, y los atacantes utilizaron servidores internos previamente comprometidos como infraestructura intermedia de comando y control (C2) para pasar desapercibidos.
«Los actores de amenazas pueden moverse lateralmente dentro de la infraestructura para robar datos, creando opcionalmente redes virtuales que permitan a los atacantes robar archivos deseados incluso de máquinas aisladas de Internet», señaló Kaspersky en ese momento. «El enfoque basado en complementos nos permite adaptarnos dinámicamente a las necesidades del atacante».
Desde entonces, la compañía ha declarado que se ha observado una nueva ola de infecciones relacionadas con PassiveNeuron desde diciembre de 2024 y continúa hasta agosto de 2025. Aunque la causa de esta campaña se desconoce en este momento, hay algunos indicios de que es obra de atacantes de habla china.
En al menos un incidente, los atacantes supuestamente obtuvieron capacidades iniciales de ejecución remota de comandos a través de Microsoft SQL en máquinas comprometidas que ejecutaban Windows Server. Se desconoce exactamente cómo se logra esto, pero el atacante puede forzar contraseñas de cuentas administrativas por fuerza bruta, explotar fallas de inyección SQL en aplicaciones que se ejecutan en el servidor o vulnerabilidades no identificadas en el propio software del servidor.
Independientemente del método utilizado, el atacante intentó introducir un shell web ASPX para obtener una funcionalidad básica de ejecución de comandos. Cuando estos esfuerzos fracasaron, el intruso fue testigo de la entrega de un sofisticado implante a través de una serie de cargadores de DLL ubicados en el directorio System32. Estos incluyen –
Neursite, una puerta trasera modular C++ personalizada NeuralExecutor, un implante .NET personalizado que se utiliza para descargar y ejecutar cargas útiles .NET adicionales a través de TCP, HTTP/HTTPS, canalizaciones con nombre o WebSockets Cobalt Strike, una herramienta legítima de simulación de adversarios
Neursite utiliza una configuración integrada para conectarse a servidores C2 y utiliza protocolos TCP, SSL, HTTP y HTTPS para la comunicación. De forma predeterminada, admite la capacidad de recopilar información del sistema, administrar procesos en ejecución y tráfico proxy a través de otras máquinas infectadas con puerta trasera para movimiento lateral.
El malware también incluye componentes que obtienen complementos auxiliares para la ejecución de comandos de shell, administración del sistema de archivos y manipulación de sockets TCP.
Kaspersky también señaló que la variante NeuralExecutor descubierta en 2024 fue diseñada para obtener la dirección del servidor C2 directamente desde la configuración, mientras que el artefacto descubierto este año accede a un repositorio de GitHub para obtener la dirección del servidor C2, una técnica conocida como técnica de resolución muerta.
«La campaña PassiveNeuron es única porque se dirige principalmente a servidores», dijeron los investigadores Georgy Kucherin y Saurabh Sharma. «Estos servidores, especialmente aquellos expuestos a Internet, suelen ser objetivos atractivos (amenazas persistentes avanzadas) porque pueden servir como puntos de entrada a organizaciones objetivo».
Source link
