Con un byte, Windows 11 quedó indefenso: los hackers desactivaron el antivirus con un único cambio.

El grupo APT Silver Fox introdujo en sus cadenas de ataque un controlador vulnerable hasta ahora desconocido, WatchDog Antimalware, firmado por Microsoft. A través de él los atacantes desactivan la protección incluso en Windows 10 y 11 completamente actualizados y entregan sin obstáculos el troyano ValleyRAT.

Investigadores de Check Point Research registraron la campaña actual con el uso del controlador amsdk.sys versión 1.0.600 —está construido sobre el SDK de Zemana Anti-Malware, no figura en la lista Microsoft Vulnerable Driver Blocklist y no está registrado en comunidades como LOLDrivers. Aunque el componente está formalmente firmado por Microsoft, permite a los atacantes terminar procesos con protección PP/PPL, desactivando incluso soluciones modernas de tipo EDR y AV sin activar detectores basados en firmas. Se emplea un esquema BYOVD con un cargador de dos controladores: en sistemas antiguos opera el conocido ZAM.exe de Zemana, y en los actuales —el hasta ahora no identificado controlador WatchDog. Ambos controladores están incrustados en el cargador, que también incluye anti‑análisis, lógica para terminar procesos y el cargador de ValleyRAT.

Tras la divulgación de la vulnerabilidad, el proveedor publicó una versión corregida del controlador (wamsdk.sys 1.1.100), solventando el problema de escalada local de privilegios vía DACL y FILE_DEVICE_SECURE_OPEN. Sin embargo, el problema principal —la terminación arbitraria de procesos, incluidos PP/PPL— permaneció. Los atacantes adaptaron rápidamente el código, cambiando apenas 1 byte en la parte no autenticada de la firma del controlador para conservar la firma de Microsoft pero eludir los bloqueos por hash. Este elegante bypass deja incluso a los parches nuevos expuestos con el enfoque actual de validación de firmas.

La carga final en todas las muestras detectadas sigue siendo ValleyRAT (Winos): un RAT modular con infraestructura en China. Todas sus etapas —desde el cargador hasta el backdoor— están implementadas como archivos PE de 64 bits independientes y empaquetadas con UPX, con anti‑análisis (Anti‑VM, Anti‑Sandbox, filtrado ISP/ORG vía la API ip-api.com), cadenas codificadas (Base64 + hex), cifrado XOR e inyecciones en svchost.exe. El método de entrega es un archivo .rar con un .exe o .dll, implementando DLL sideloading a través de una aplicación legítima. La configuración de los servidores C2 está codificada de forma rígida; las direcciones IP y puertos están escritos en orden inverso, en particular 156[.]234[.]58[.]194:52110 y :52111.

La herramienta de anti‑análisis (EDR/AV‑killer) usa dos comandos IOCTL: 0x80002010 para registrar su propio proceso en la lista permitida y 0x80002048 para terminar procesos deseados. La lista de objetivos incluye 192 nombres, principalmente antivirus y productos EDR ampliamente usados en China. El analizador también detectó comprobaciones de nombres de ventanas para rastrear sandboxes y un arranque diferido al encontrarlas (vía EnumWindows), lo que añade resistencia al análisis.

La vulnerabilidad básica del controlador del WatchDog reside en la creación de un dispositivo con DACL «estricto», pero sin la bandera FILE_DEVICE_SECURE_OPEN, lo que permite eludir las restricciones y acceder al dispositivo desde cualquier contexto. Vulnerabilidades adicionales incluyen LPE, terminación arbitraria de procesos, acceso directo al disco (IOCTL_SCSI_READ / WRITE) y captura de descriptores de procesos (IOCTL_OPEN_PROCESS).

Según CPR, la actividad del grupo Silver Fox continúa. A pesar de la notificación al MSRC y de un bloqueo parcial, en las cadenas ya se usa una versión modificada de wamsdk.sys, compilada a partir del controlador parcheado pero no completamente asegurado. La firma sigue siendo válida porque la modificación afectó solo una parte que no verifica la firma principal. Esto es un problema grave, ya que el archivo supera todas las comprobaciones de confianza de Windows pero ya tiene un hash único, eludiendo los bloqueos basados en firmas.

ValleyRAT continúa empleando los mismos métodos descritos en investigaciones previas: carga en memoria, evasión de DllMain, actividad en segundo plano sin huellas en disco y arquitectura modular con configuración remota. Permite ejecutar comandos de forma remota, espiar, exfiltrar datos y cargar módulos adicionales. Los investigadores recomiendan actualizar manualmente la lista Microsoft Vulnerable Driver Blocklist (por defecto se actualiza con poca frecuencia), usar reglas YARA personalizadas y pasar al análisis comportamental: las firmas estáticas e incluso las comprobaciones de firma ya no son suficientes.