Investigadores en ciberseguridad han identificado una nueva variante de malware escrito en Go, llamada XDigo, utilizada en ataques dirigidos contra entidades gubernamentales en Europa del Este desde marzo de 2025.

Según la empresa francesa HarfangLab, los atacantes emplearon archivos de acceso directo de Windows (extensión .LNK) maliciosos como parte de una campaña de múltiples etapas para desplegar XDigo. Este tipo de ataque se alinea con las tácticas del grupo de ciberespionaje conocido como XDSpy, activo desde 2011 y centrado en agencias gubernamentales de Europa del Este y los Balcanes.

En los últimos años, organizaciones en Rusia y Moldavia han sido blanco de múltiples campañas que han distribuido malware como UTask, XDDown y DSDownloader, diseñados para descargar cargas adicionales y robar información confidencial de los sistemas comprometidos.

El ataque reciente explotó una vulnerabilidad de ejecución remota de código en Windows, identificada como ZDI-CAN-25373 y divulgada públicamente por Trend Micro en marzo. Esta falla puede activarse al procesar archivos LNK especialmente diseñados.

“Los datos manipulados dentro de un archivo LNK pueden contener contenido malicioso que permanece invisible al usuario desde la interfaz estándar de Windows”, explicó el equipo de Zero Day Initiative de Trend Micro. “Un atacante puede aprovechar esta falla para ejecutar código con los privilegios del usuario actual.”

El análisis de los archivos LNK utilizados reveló nueve muestras distintas que se aprovechan de un problema de interpretación debido a que Windows no implementa completamente su propia especificación MS-SHLLINK (versión 8.0). Aunque esta especificación permite cadenas de texto de hasta 65,535 caracteres, la implementación actual en Windows 11 restringe ese límite a 259 caracteres, salvo en los argumentos de línea de comandos.

Esta inconsistencia permite lo que se conoce como “confusión en el análisis de archivos LNK”, lo que facilita que los atacantes oculten comandos en el archivo, tanto a usuarios como a herramientas de análisis de terceros.

“Debido a esta diferencia con la especificación oficial, es posible crear archivos LNK que parecen inocuos o incluso inválidos, pero que en realidad ejecutan comandos cuando se abren en Windows”, indicó HarfangLab.

Cadena de ataque

En la práctica, estos archivos LNK fueron distribuidos dentro de archivos ZIP, que contenían:

• Un archivo PDF señuelo
• Un ejecutable legítimo renombrado
• Una librería DLL maliciosa, que es cargada de manera lateral por el ejecutable

Este patrón coincide con ataques anteriores documentados por BI.ZONE, que atribuyó campañas similares al grupo Silent Werewolf, conocido por atacar compañías en Moldavia y Rusia.

La DLL maliciosa funciona como descargador de primera etapa, identificada como ETDownloader, que luego instala el malware principal: XDigo. Según los investigadores, esta variante está relacionada con una muestra anterior llamada “UsrRunVGA.exe”, reportada por Kaspersky en octubre de 2023.

¿Qué hace XDigo?

XDigo es una herramienta de robo de información que puede:

• Extraer archivos del sistema infectado
• Capturar el contenido del portapapeles
• Tomar capturas de pantalla
• Ejecutar comandos o binarios obtenidos de servidores remotos vía HTTP GET
• Exfiltrar información a través de solicitudes HTTP POST

Se ha confirmado al menos un objetivo en la región de Minsk, y otros indicios sugieren que también se han atacado empresas de retail, instituciones financieras, aseguradoras y servicios postales gubernamentales en Rusia.

“Este perfil de víctimas coincide con el historial de XDSpy, que se ha centrado en organismos gubernamentales de Europa del Este y, en particular, de Bielorrusia”, explicó HarfangLab.

XDSpy también se destaca por emplear técnicas de evasión avanzadas, incluyendo intentos por evitar ser detectado por soluciones como PT Security Sandbox, una herramienta utilizada ampliamente por organizaciones gubernamentales y financieras rusas.

🔒 Recomendaciones para defensores
Este caso demuestra cómo los atacantes aprovechan formatos antiguos como los archivos LNK y se benefician de incoherencias técnicas para evadir defensas. La detección basada en comportamiento y una vigilancia continua frente a archivos poco comunes siguen siendo claves para mitigar amenazas de este tipo.

Fuente: https://thehackernews.com/2025/06/xdigo-malware-exploits-windows-lnk-flaw.html