14 de agosto de 2025 – El Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de Japón (JPCERT/CC) reveló una serie de incidentes cibernéticos en los que atacantes emplearon CrossC2, un marco de comando y control (C2) capaz de ampliar las capacidades de Cobalt Strike Beacon más allá de Windows, apuntando también a entornos Linux y Apple macOS.

Según JPCERT/CC, la actividad se llevó a cabo entre septiembre y diciembre de 2024, afectando a múltiples países, incluido Japón. El análisis de artefactos subidos a VirusTotal mostró que los atacantes combinaron CrossC2 con otras herramientas como PsExec, Plink y Cobalt Strike para intentar vulnerar entornos de Active Directory (AD).

Un componente clave de la campaña fue un cargador personalizado de Cobalt Strike Beacon, llamado ReadNimeLoader, desarrollado en el lenguaje de programación Nim. Este cargador fue diseñado para ejecutar cargas maliciosas directamente en memoria de manera sigilosa, utilizando el proceso legítimo java.exe para cargar de forma lateral una DLL maliciosa (jli.dll). Una vez ejecutado, ReadNimeLoader desplegaba un cargador de shellcode de código abierto conocido como OdinLdr, que decodificaba y ejecutaba el Cobalt Strike Beacon embebido sin escribirlo en disco.

Los analistas de seguridad destacaron que el malware incorporaba técnicas anti-depuración y anti-análisis para garantizar que OdinLdr solo se decodificara en condiciones seguras, lo que dificulta su detección y análisis.

Vínculos con operaciones de ransomware

La investigación de JPCERT/CC detectó coincidencias entre esta campaña y operaciones de ransomware BlackSuit/Black Basta, reportadas por Rapid7 en junio de 2025. Las similitudes incluían el uso de los mismos dominios C2 y archivos con nombres similares.

La campaña también involucró variantes ELF de SystemBC, un backdoor que a menudo se despliega antes de Cobalt Strike y ataques de ransomware, lo que apunta a una estrategia de intrusión sofisticada y en múltiples etapas.

El riesgo de CrossC2 para servidores Linux

Las capacidades multiplataforma de CrossC2 lo convierten en una herramienta poderosa para adversarios que buscan infiltrarse en entornos de TI diversos. Los servidores Linux —que con frecuencia carecen de soluciones de Endpoint Detection and Response (EDR)— fueron señalados como objetivos atractivos para el acceso inicial, lo que facilita el movimiento lateral y el compromiso profundo de redes internas.

“Aunque Cobalt Strike sigue siendo una herramienta ampliamente utilizada de forma maliciosa, este caso destaca por el uso de CrossC2 para comprometer servidores Linux en entornos internos”, señaló Yuma Masubuchi, investigador de JPCERT/CC. “Los sistemas Linux requieren mayor atención en seguridad debido a su frecuente falta de monitoreo y medidas defensivas.”

Puntos clave para las organizaciones

• Implementar EDR o monitoreo equivalente en sistemas Linux y macOS, no solo en Windows.
• Auditar regularmente tareas programadas y binarios legítimos para detectar abusos.
• Supervisar conexiones de red inusuales hacia infraestructura C2 conocida.
• Mantener inteligencia de amenazas actualizada para identificar patrones de ataque multiplataforma.

Esta campaña evidencia la evolución del panorama de amenazas, donde los adversarios aprovechan marcos de C2 multiplataforma para evadir defensas tradicionales, lo que exige una postura de seguridad más integral y proactiva.

Fuente: https://thehackernews.com/2025/08/researchers-warn-crossc2-expands-cobalt.html