Las organizaciones en México siguen siendo blanco de ciberatacantes que utilizan versiones modificadas del troyano de acceso remoto AllaKore RAT y SystemBC, como parte de una campaña persistente de larga duración.

Según Arctic Wolf Labs, esta actividad ha sido atribuida al grupo de ciberdelincuentes motivado por fines financieros conocido como Greedy Sponge. Se cree que este grupo opera desde principios de 2021, atacando indiscriminadamente sectores como el comercio minorista, agricultura, sector público, entretenimiento, manufactura, transporte, servicios comerciales, bienes de capital y banca.

“El malware AllaKore RAT ha sido fuertemente modificado para permitir a los atacantes enviar credenciales bancarias seleccionadas e información de autenticación única a su servidor de comando y control (C2), con el fin de cometer fraudes financieros”, detalló Arctic Wolf en un análisis reciente.

La campaña fue documentada por primera vez en enero de 2024 por el equipo de investigación de BlackBerry, hoy parte de Arctic Wolf. Los ataques emplean técnicas como phishing o compromisos mediante navegación para distribuir archivos ZIP infectados que finalmente ejecutan AllaKore RAT.

Evolución de las técnicas de ataque

Los análisis muestran que este troyano no solo ofrece control remoto sobre el sistema, sino que también puede entregar cargas maliciosas secundarias como SystemBC, un malware en C que convierte a los sistemas comprometidos en proxies SOCKS5, facilitando la comunicación encubierta con los servidores C2.

Greedy Sponge ha perfeccionado sus métodos incluyendo medidas de geolocalización desde mediados de 2024 para evadir análisis. Antes, esta restricción geográfica (limitada a México) se aplicaba mediante un instalador MSI con código .NET. Ahora, esta etapa ocurre del lado del servidor, impidiendo el acceso al malware fuera del objetivo geográfico.

La variante más reciente sigue distribuyendo archivos ZIP con nombres como "Actualiza_Policy_v01.zip" que contienen un ejecutable legítimo de proxy de Chrome y un archivo MSI alterado diseñado para instalar AllaKore RAT. Este troyano permite funciones como registro de teclas, capturas de pantalla, transferencia de archivos y control remoto.

El archivo MSI contiene un descargador .NET, que obtiene y ejecuta el RAT desde un servidor externo (manzisuape[.]com/amw), y un script PowerShell para limpieza posterior.

Actividad en América Latina

No es la primera vez que AllaKore RAT es usado en ataques en América Latina. En mayo de 2024, HarfangLab y Cisco Talos informaron que una variante llamada AllaSenha (también conocida como CarnavalHeist) se dirigía específicamente a bancos en Brasil.

“Luego de más de cuatro años atacando entidades mexicanas, consideramos que este grupo es persistente, aunque no particularmente avanzado”, afirmó Arctic Wolf. “Su motivación financiera y su enfoque geográfico limitado los hace bastante distintivos. Su permanencia operacional sugiere que su estrategia les ha resultado eficaz”.

Nuevas herramientas: Ghost Crypt y PureRAT

En mayo de 2025, eSentire detectó una campaña de phishing donde se usó un servicio de crypter llamado Ghost Crypt para desplegar y ejecutar PureRAT.

El acceso inicial se logró mediante ingeniería social, con el atacante haciéndose pasar por un nuevo cliente que envió un PDF con un enlace a archivos ZIP maliciosos alojados en Zoho WorkDrive. Luego, el atacante llamó a la víctima para presionarla a ejecutar los archivos.

La carga maliciosa era una DLL cifrada con Ghost Crypt, que luego se inyectaba en el proceso legítimo csc.exe de Windows mediante una técnica llamada inyección por hipnosis de procesos.

Ghost Crypt —anunciado en foros cibercriminales en abril de 2025— permite evadir Microsoft Defender y distribuir stealers, loaders y troyanos como Lumma, Rhadamanthys, StealC, BlueLoader, PureLoader, DCRat y XWorm.

Aparición de Neptune RAT y Hijack Loader

Recientemente también ha surgido una nueva versión de Neptune RAT (también conocido como MasonRAT) distribuido mediante archivos JavaScript. Este malware puede robar datos sensibles, registrar teclas, tomar capturas de pantalla y descargar cargas maliciosas adicionales.

Además, se ha detectado el uso de instaladores Inno Setup maliciosos, que sirven como vía para el Hijack Loader (también conocido como IDAT Loader), el cual posteriormente distribuye el stealer RedLine.

Según el equipo de investigación de amenazas de Splunk:

“Estos ataques aprovechan las capacidades de scripting en Pascal de Inno Setup para descargar y ejecutar la siguiente fase del malware en sistemas comprometidos. Esta técnica es similar a la empleada por un loader malicioso conocido como D3F@ck Loader”.observability, endpoint protection, and advanced threat detection solutions tailored to your needs.

Fuente: https://thehackernews.com/2025/07/credential-theft-and-remote-access.html