Las memorias USB son lo último: por qué los hackers han redescubierto los soportes extraíbles
A veces basta con un solo puerto USB para el hackeo más sonado.
El grupo de hackers de Corea del Sur APT-C-06, también conocido como DarkHotel, volvió a hacerse notar con una serie de ataques detectados en la segunda mitad de 2025. Tras la actividad de junio, cuando se emplearon programas maliciosos que descargaban DarkSeal, los atacantes cambiaron de enfoque. Esta vez se utilizaron otros tipos de componentes maliciosos, ya conocidos por ataques a comienzos de año, y la propagación se realizó a través de medios extraíbles.
Según 360 Threat Intelligence Center, la infección se producía al conectar a los ordenadores dispositivos USB que contenían archivos de instalación maliciosos disfrazados de programas legítimos. Entre esos archivos ejecutables figuraban instaladores de TrueCrypt, SanDisk, WinRAR, Adobe Reader, FlashFXP y otras utilidades populares. Ejecutaban la instalación del software legítimo y, al mismo tiempo, activaban código malicioso incrustado en recursos del tipo RC Data. Uno de los recursos contenía la versión auténtica del programa y el segundo, shellcode cifrado.
Durante la instalación se creaba un archivo oculto y el código ejecutable se lanzaba solo si no se detectaban signos de uso profesional o corporativo del dispositivo. Así, al descubrir servicios de acceso remoto o directorios del sistema asociados con Azure AD, el código malicioso no se activaba. Probablemente los atacantes intentaban así evitar ser detectados en equipos con un nivel de protección elevado.
El shellcode recordaba la estructura de los componentes de DarkSeal y realizaba la descarga de una segunda etapa: una biblioteca dinámica similar a k1nqa.dll, utilizada en ataques anteriores. El programa analizaba si había un antivirus instalado y, en función de los datos obtenidos, formaba una URL para enviar al servidor de control. Esta información se usaba para la generación dinámica de un script de PowerShell, cuya ruta y contenido dependían del antivirus instalado.
Para mantener la persistencia, el código malicioso creaba tareas en el Programador de tareas de Windows. Según el software de protección detectado, se empleaban diferentes métodos para crear las tareas: desde el uso de interfaces COM hasta la ejecución privilegiada de comandos de PowerShell.
El desarrollo del ataque resultó multietapa y adaptativo, lo que dificulta su detección. Sin embargo, pese a la táctica modificada, los especialistas señalan que en la nueva campaña se emplearon componentes y métodos ya conocidos, no desarrollos originales. Esto subraya la continuidad y el interés sostenido del grupo por técnicas establecidas.
Una característica interesante fue que archivos maliciosos detectados en unidades USB, por lo general, se encontraban en grupos. Todos los programas en un mismo medio resultaban estar infectados. Aunque hasta ahora en las muestras conocidas no se han registrado funciones de autorreplicación, los especialistas no descartan la posibilidad de que se infectaran varios instaladores durante su preparación.
La aparición de estos nuevos ataques indica que DarkHotel sigue utilizando activamente métodos probados, combinándolos para aumentar su eficacia, y también presta atención a la selección del público objetivo, evitando dispositivos que podrían ser difíciles de comprometer.