¿Descargaste DeepSeek de un sitio sospechoso? Sainbox RAT lleva 72 horas monitoreando tus contraseñas

El grupo de hackers chino Silver Fox, también conocido como Void Arachne, ha vuelto a estar en el centro de atención de los expertos en ciberseguridad. Según los datos de la empresa Netskope, se ha detectado una nueva campaña maliciosa en la que los atacantes crean sitios web falsos de programas populares, incluidos WPS Office, Sogou y DeepSeek, para infectar los ordenadores de los usuarios con software espía.

Se señala que los sitios web falsos, entre los que se encuentra el dominio «wpsice[.]com», se hacen pasar por las páginas oficiales de aplicaciones conocidas. El ataque está dirigido principalmente al público de habla china, como lo confirma la presencia de instaladores MSI elaborados exclusivamente en chino.

A través de estos instaladores maliciosos, se descarga en los dispositivos un conjunto de herramientas que incluye el troyano Sainbox RAT, una versión modificada del ampliamente conocido Gh0st RAT, así como un controlador oculto basado en el proyecto de código abierto Hidden, diseñado para ocultar las huellas de la presencia del código malicioso.

Los especialistas de Netskope destacan que este enfoque permite a los atacantes controlar eficazmente los sistemas infectados y ocultar los signos del ataque sin necesidad de desarrollar herramientas complejas propias. El uso de soluciones ya existentes como Hidden simplifica la tarea manteniendo un alto nivel de sigilo.

En el marco de la campaña actual, los atacantes utilizan la técnica de sustitución de bibliotecas legítimas — DLL Sideloading. El instalador descargado a través del sitio web ejecuta un archivo legítimo llamado «shine.exe», que a su vez inicia la ejecución de la biblioteca modificada «libcef.dll». Esta biblioteca extrae y activa el código malicioso oculto dentro del archivo de texto «1.txt», que forma parte del instalador.

Como resultado, se descarga una DLL adicional, que es la que garantiza la ejecución de Sainbox RAT y del controlador oculto. Este controlador enmascara eficazmente la actividad del troyano, ocultando procesos y claves de registro asociadas al software malicioso.

Es notable que Silver Fox no recurra por primera vez a esta táctica. En el verano de 2024, los especialistas de eSentire detectaron una campaña similar, cuando a través de sitios web falsos del navegador Google Chrome se distribuía Gh0st RAT. Y en febrero de este año, la empresa Morphisec descubrió otro ataque del mismo grupo, cuando los estafadores utilizaron sitios falsos que promocionaban un navegador para infectar a los usuarios con otra modificación de Gh0st RAT conocida como ValleyRAT (o Winos 4.0).

Según datos de Proofpoint, ValleyRAT fue detectado por primera vez en otoño de 2023 y se utilizó principalmente contra usuarios de habla china. En ese momento también se distribuían otras herramientas, incluyendo Sainbox RAT y Purple Fox.

Los expertos advierten que el uso de versiones modificadas de troyanos conocidos y rootkits de código abierto permite a los atacantes no solo eludir las medidas básicas de protección, sino también minimizar los costes de desarrollo de nuevas herramientas. Esta táctica hace que las campañas de Silver Fox sean especialmente peligrosas, considerando su orientación específica hacia audiencias lingüísticas y regionales concretas.