Administradores, revisen los registros: msbuild.exe e InstallUtil podrían no estar de su lado
Administradores, revisen los registros: msbuild.exe e InstallUtil podrían no estar de su lado
Alexander Antipov
APT-C-36 lleva sus técnicas de evasión a otro nivel.
El grupo APT-C-36, también conocido como Blind Eagle, intensificó su actividad en mayo de 2025, dirigiendo ataques contra organismos estatales y grandes empresas de Colombia, así como en otros países de Sudamérica como Ecuador, Chile y Panamá. Activo al menos desde 2018, este actor es conocido por campañas de phishing dirigidas principalmente a los sectores financiero y asegurador. En su operación más reciente, incorporó por primera vez técnicas avanzadas de evasión: verificación antianálisis multinivel para detectar entornos virtualizados y compleja ofuscación de código, lo que dificulta significativamente la detección en entornos sandbox y el análisis manual.
La infección comienza con el envío de correos electrónicos que incluyen un archivo adjunto en formato SVG con temática relacionada con el sistema judicial colombiano. Este archivo contiene un enlace a Bitbucket y una contraseña para un archivo comprimido que alberga un ejecutable y tres bibliotecas: dos legítimas del software GitKraken y una maliciosa, libnettle-8.dll. Al ejecutar el archivo principal, se activa un mecanismo de side-loading que carga la DLL maliciosa. El código malicioso utiliza estructuras de control falsas y la técnica de control-flow flattening para entorpecer el análisis.
El malware realiza comprobaciones de bajo nivel mediante CPUID y llamadas a kernelbase.EnumSystemFirmwareTables para detectar si se ejecuta en una máquina virtual; en caso afirmativo, se cierra. Luego recopila información del sistema: nombre del equipo y del usuario, versión del sistema operativo, características de hardware, IP local, lista de directorios y versión de .NET Framework. Posteriormente crea la carpeta %USERPROFILE%\SystemRootDoc, copia en ella los archivos originales y añade una clave en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run para establecer persistencia.
Para desplegar la carga útil principal se emplea la técnica process hollowing. Se crean procesos AddInProcess32.exe, msbuild.exe e InstallUtil.exe desde el directorio de .NET Framework, se suspenden y, mediante NtAllocateVirtualMemory, RtlAllocateHeap y NtWriteVirtualMemory, se inyecta el código malicioso. Al reanudar los hilos, se ejecuta el módulo RAT.
El componente final es un cliente de DcRAT, una herramienta de administración remota en C# de código abierto muy utilizada por ciberdelincuentes. Su configuración incrustada especifica clave AES256, puerto 3020, dominio C2 envio16-05.duckdns.org, nombre de mutex DcRatMutex_qwqdanchun y directorio de trabajo %AppData%. Las funciones antidepuración, antianálisis y de detección de VM están desactivadas por defecto, pero el servidor puede activarlas bajo demanda para adaptar el comportamiento al entorno.
DcRAT permite comprobar la virtualización vía WMI, finalizar procesos de herramientas de análisis como ProcessHacker, Process Explorer y Windows Defender, así como establecer persistencia tanto con privilegios de administrador como sin ellos. La conexión continua con el servidor C2 le da al atacante control total sobre el sistema comprometido y la posibilidad de descargar módulos adicionales.
La atribución a APT-C-36 se confirma por la coincidencia en la temática de los correos de phishing, el perfil de las víctimas, el uso de process hollowing con msbuild.exe, la elección de DcRAT como plataforma principal y la reutilización de infraestructura: DuckDNS para los servidores C2 y Bitbucket para alojar los archivos maliciosos. La novedad en esta campaña es la adopción sistemática de técnicas antidetector, nunca antes observadas en las operaciones del grupo.
La infección comienza con el envío de correos electrónicos que incluyen un archivo adjunto en formato SVG con temática relacionada con el sistema judicial colombiano. Este archivo contiene un enlace a Bitbucket y una contraseña para un archivo comprimido que alberga un ejecutable y tres bibliotecas: dos legítimas del software GitKraken y una maliciosa, libnettle-8.dll. Al ejecutar el archivo principal, se activa un mecanismo de side-loading que carga la DLL maliciosa. El código malicioso utiliza estructuras de control falsas y la técnica de control-flow flattening para entorpecer el análisis.
El malware realiza comprobaciones de bajo nivel mediante CPUID y llamadas a kernelbase.EnumSystemFirmwareTables para detectar si se ejecuta en una máquina virtual; en caso afirmativo, se cierra. Luego recopila información del sistema: nombre del equipo y del usuario, versión del sistema operativo, características de hardware, IP local, lista de directorios y versión de .NET Framework. Posteriormente crea la carpeta %USERPROFILE%\SystemRootDoc, copia en ella los archivos originales y añade una clave en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run para establecer persistencia.
Para desplegar la carga útil principal se emplea la técnica process hollowing. Se crean procesos AddInProcess32.exe, msbuild.exe e InstallUtil.exe desde el directorio de .NET Framework, se suspenden y, mediante NtAllocateVirtualMemory, RtlAllocateHeap y NtWriteVirtualMemory, se inyecta el código malicioso. Al reanudar los hilos, se ejecuta el módulo RAT.
El componente final es un cliente de DcRAT, una herramienta de administración remota en C# de código abierto muy utilizada por ciberdelincuentes. Su configuración incrustada especifica clave AES256, puerto 3020, dominio C2 envio16-05.duckdns.org, nombre de mutex DcRatMutex_qwqdanchun y directorio de trabajo %AppData%. Las funciones antidepuración, antianálisis y de detección de VM están desactivadas por defecto, pero el servidor puede activarlas bajo demanda para adaptar el comportamiento al entorno.
DcRAT permite comprobar la virtualización vía WMI, finalizar procesos de herramientas de análisis como ProcessHacker, Process Explorer y Windows Defender, así como establecer persistencia tanto con privilegios de administrador como sin ellos. La conexión continua con el servidor C2 le da al atacante control total sobre el sistema comprometido y la posibilidad de descargar módulos adicionales.
La atribución a APT-C-36 se confirma por la coincidencia en la temática de los correos de phishing, el perfil de las víctimas, el uso de process hollowing con msbuild.exe, la elección de DcRAT como plataforma principal y la reutilización de infraestructura: DuckDNS para los servidores C2 y Bitbucket para alojar los archivos maliciosos. La novedad en esta campaña es la adopción sistemática de técnicas antidetector, nunca antes observadas en las operaciones del grupo.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!