Su EDR actúa a favor del enemigo: la nueva realidad en la que las «listas blancas» ponen en jaque la infraestructura
Storm-0249 logra ocultar ataques dentro de procesos EDR, convirtiendo agentes de seguridad en herramientas de sigilo
El grupo con motivación financiera Storm-0249, conocido como vendedor de acceso inicial para operadores de programas de rescate, ha complicado notablemente sus métodos y ha provocado una nueva ola de alarma entre los especialistas en ciberseguridad. Los especialistas de ReliaQuest registraron que el grupo se aleja del phishing masivo y pasa a ataques dirigidos basados en el abuso de componentes confiables de las plataformas EDR —sobre todo SentinelOne. Esto permite a los atacantes enmascarar la actividad maliciosa como funcionamiento habitual del software de protección y permanecer en la infraestructura durante semanas, preparando el terreno para futuros ataques de cifrado.
Si antes Storm-0249 confiaba en campañas de phishing y cargadores simples, ahora sus cadenas de ataque incluyen dominios falsos de Microsoft, ejecución sin archivos (fileless) de PowerShell, transmisión de código malicioso a través de curl.exe y, especialmente, sideloading de DLL junto a archivos firmados de SentinelOne. En uno de los incidentes los atacantes usaron un paquete MSI fraudulento que se ejecuta con la cuenta SYSTEM y deja una DLL modificada junto al legítimo SentinelAgentWorker.exe. El proceso EDR en ejecución carga la biblioteca maliciosa por sí mismo y, bajo su apariencia, se realiza reconocimiento, se envía telemetría a dominios externos y se establece comunicación con la infraestructura de C2.
Lo especialmente peligroso es que Storm-0249 ha aprendido a usar a los propios agentes EDR como transporte para comandos ocultos y canales de control. Microsoft Defender registró cómo el firmado SentinelAgentWorker.exe contacta dominios de los atacantes registrados apenas unas semanas antes del ataque, pero los procesos con firma digital y reputación de software confiable rara vez despiertan sospechas. Combinados con el cifrado TLS, esos canales se vuelven prácticamente indetectables para los sistemas clásicos de análisis de tráfico.
El grupo también usa activamente utilidades legítimas de Windows como reg.exe y findstr.exe para el reconocimiento, incluso para obtener el MachineGuid —un parámetro que muchos cifradores usan para vincular las claves de cifrado a un dispositivo concreto. Al ejecutar esos comandos desde un proceso EDR firmado, Storm-0249 se pierde por completo en el «ruido» de la actividad sistémica habitual.
Los investigadores advierten que el abuso de procesos confiables eleva el nivel de la amenaza a un nuevo grado, y las medidas de respuesta estándar como reinstalar agentes o actualizar el sistema ya no son suficientes. Los paquetes MSI con privilegios del sistema garantizan una cabeza de puente resistente que sobrevive a la mayoría de los procedimientos básicos de remediación. Además, las técnicas empleadas por el grupo se adaptan fácilmente a otras soluciones EDR, lo que convierte el problema en sectorial y no en específico de un producto.
En ReliaQuest enfatizan que solo es posible hacer frente a Storm-0249 mediante analítica conductual, respuestas automatizadas y monitorización profunda de procesos confiables. La serie de reglas de detección actualizadas GreyMatter apunta a identificar actividad atípica: cargas de DLL no firmadas en AppData, ejecución en cadena de PowerShell desde curl.exe, conexiones a dominios registrados recientemente, operaciones sospechosas en el registro e intentos de mantener persistencia. Los playbooks automatizados para aislar el host, bloquear dominios y prohibir hashes de archivos maliciosos permiten reducir el tiempo de respuesta de horas a minutos y prevenir el despliegue de cifradores.
Los especialistas coinciden en que la táctica de Storm-0249 se convertirá en catalizador para otros grupos en el mercado IAB y RaaS. La combinación de ataques dirigidos, abuso de procesos confiables y presencia persistente en el sistema acelera notablemente el ciclo de despliegue de programas de rescate y reduce la ventana en la que los defensores pueden interrumpir el ataque. Por ello, las empresas deben reforzar el control sobre herramientas como PowerShell y curl.exe, la monitorización del tráfico DNS, la detección de anomalías en el comportamiento de los agentes EDR y la respuesta rápida ante cualquier actividad de red atípica procedente de procesos confiables. Son medidas que se vuelven críticamente importantes cuando los atacantes aprenden a convertir los sistemas de protección en su propia herramienta de sigilo.