Un clic en un formulario de impuestos puede dejar su red comprometida durante meses
Un contable abrió la puerta a los delincuentes sin darse cuenta.
El grupo de ciberdelincuentes Lunar Spider realizó un ataque a gran escala que comenzó con un solo clic en un archivo falso y terminó con semanas de control sobre la infraestructura de la víctima.
Según los analistas de THE DFIR Report, la campaña maliciosa comenzó en mayo de 2024, cuando un empleado de una organización no identificada abrió un archivo JavaScript ofuscado, disfrazado de formulario fiscal. El script dentro del archivo descargó un paquete MSI que, mediante la utilidad legítima de Windows rundll32, inyectó la biblioteca Brute Ratel.
Como resultado, los atacantes pudieron desplegar el malware Latrodectus, inyectándolo en el proceso explorer.exe y estableciendo comunicación con servidores de comando y control (C2) ocultos tras proxies de CloudFlare. Ya en la primera hora de actividad, el malware descargó un módulo infostealer capaz de extraer credenciales.
Latrodectus ya había demostrado amplias capacidades: atacó 29 navegadores basados en Chromium, incluyendo Chrome, Edge, Vivaldi y Yandex.Browser, y además procesó por separado los perfiles de Firefox, volcando los archivos cookies.sqlite. Adicionalmente, el malware obtenía datos de Microsoft Outlook (versiones 11.0–17.0), accediendo al registro del sistema para extraer configuraciones de clientes de correo. En manos de los operadores quedaron direcciones de servidores SMTP, POP3, IMAP y NNTP, números de puerto, nombres de usuario y contraseñas cifradas.
Al tercer día, los atacantes encontraron en la máquina un archivo unattend.xml, dejado por una instalación automatizada, que contenía las contraseñas del administrador de dominio en texto claro. Al día siguiente ejecutaron a través de BackConnect el archivo lsassa.exe, lo que les otorgó de inmediato privilegios a nivel de dominio y abrió el camino para la propagación lateral en la red.
Para ocultar su presencia, Lunar Spider utilizó activamente la inyección de código en procesos legítimos de Windows, como explorer.exe, sihost.exe y spoolsv.exe. Para mantener el control incluso tras un reinicio o una limpieza parcial, se configuraron claves de inicio automático en el registro y tareas programadas. Como canales de mando se emplearon varios frameworks — Brute Ratel, Latrodectus y Cobalt Strike —, lo que proporcionó redundancia y resiliencia a la infraestructura.
El acceso a recursos de dominio permitió a los atacantes ejecutar procesos con privilegios de administrador, por ejemplo gpupdate.exe, a través de sihost.exe. Casi tres semanas después empezaron a descargar archivos desde los servidores, usando una versión renombrada de Rclone para transferir datos por FTP. La exportación duró alrededor de diez horas. En total, Lunar Spider mantuvo el acceso a la red durante aproximadamente dos meses. No se registró ningún caso de despliegue de ransomware: la prioridad era claramente el robo de datos, no el cifrado o bloqueo de sistemas.
Esta operación subraya el alto nivel de organización del grupo: desde un esquema de intrusión en varias etapas y el uso de software legítimo para camuflarse hasta la aplicación competente de múltiples canales C2 y la búsqueda de puntos de escalada poco evidentes. Todo ello indica una estrategia a largo plazo y un enfoque en la recopilación de información en lugar de un solo episodio de extorsión.