DNS, Rust y Nim: una mezcla explosiva para que ni siquiera notes cómo los hackers han conseguido acceso total

Varias agrupaciones de ransomware han comenzado a utilizar activamente el malware denominado Skitnet como parte de sus operaciones en la etapa de postexplotación. El objetivo es establecer control remoto sobre los sistemas comprometidos y extraer de ellos datos confidenciales. Según datos de PRODAFT, este malware apareció en foros clandestinos como RAMP en abril de 2024, pero el verdadero auge de interés se ha registrado desde comienzos de 2025.

Un ejemplo es el uso de Skitnet por el grupo Black Basta en campañas de phishing que imitaban la interfaz de Microsoft Teams. Estos ataques estuvieron dirigidos a usuarios corporativos y ocurrieron en abril de 2025. Los expertos señalan que la arquitectura modular y las capacidades de sigilo hacen de Skitnet una herramienta cada vez más popular entre los ciberdelincuentes.

El creador de Skitnet, también conocido como Bossnet, sería un delincuente con el alias LARVA-306. El programa está escrito en los lenguajes Rust y Nim, lo que le permite evadir eficazmente los sistemas de detección y establecer conexiones reversas de shell mediante DNS. Esta combinación tecnológica representa un desafío adicional para los antivirus tradicionales y los sistemas de protección.

El mecanismo de infección comienza con la ejecución de un archivo en Rust, que descifra y activa una carga útil embebida escrita en Nim. Esta, a su vez, establece una conexión reversa con el servidor de control usando la técnica de resolución de consultas DNS y el enlace dinámico de funciones API mediante GetProcAddress en lugar de tablas de importación estándar.

Para mantener la comunicación con el servidor y ejecutar comandos en la máquina infectada, se emplean multiprocesamiento y consultas DNS cíclicas cada 10 segundos. Los comandos recibidos se ejecutan en el dispositivo de la víctima y los resultados se envían de vuelta al panel de control.

Entre las funciones soportadas se incluyen la obtención de listas de antivirus, toma de capturas de pantalla, despliegue de soluciones RDP legítimas (como AnyDesk y rutserv), así como la ejecución de scripts de PowerShell desde servidores remotos. También incorpora un mecanismo de ejecución automática mediante accesos directos en la carpeta de inicio.

Según los especialistas, la arquitectura en capas de Skitnet, la combinación de Rust y Nim, así como el uso de DNS como canal de control, lo hacen especialmente difícil de analizar y detectar. Esto permite a los atacantes mantener el acceso a los sistemas infectados durante períodos prolongados sin ser descubiertos.

En paralelo a esta revelación, otro grupo de investigadores de Zscaler ThreatLabz informó sobre la aparición de un nuevo cargador de malware llamado TransferLoader. Este se utiliza para entregar el ransomware Morpheus, que ha apuntado, entre otros, a una firma legal estadounidense. La actividad de esta campaña se monitorea desde febrero de 2025.

TransferLoader está compuesto por tres componentes: el cargador, el backdoor y un módulo especializado encargado de ejecutar el backdoor. El cargador descarga la carga útil desde el servidor de comando y, al mismo tiempo, abre un documento PDF falso para distraer al usuario. El backdoor recibe comandos del servidor C2 y también puede actualizar su configuración a través de la plataforma descentralizada IPFS, utilizada como canal de control de respaldo. Además, los desarrolladores aplican técnicas de ofuscación para dificultar el análisis inverso.

La expansión del uso de herramientas como Skitnet y TransferLoader indica la creciente complejidad de la infraestructura maliciosa y el esfuerzo de los operadores de ransomware por mantener una presencia lo más sigilosa y controlada posible en las redes objetivo.