Tu reproductor VLC ahora está al servicio de los hackers: no es broma, es la nueva táctica de HoneyMyte
Delincuentes hallan la forma perfecta de ocultarse a plena vista.
El grupo de hackers conocido como HoneyMyte continúa una amplia actividad de ciberespionaje dirigida principalmente contra organismos estatales en países del sudeste asiático. Entre las víctimas también se encuentran organizaciones en Mongolia, Rusia y otros países. Expertos de Kaspersky Lab registraron que en operaciones recientes los atacantes emplearon una versión actualizada del malware CoolClient, además de incorporar nuevas herramientas para robar datos de navegadores y documentos.
CoolClient, detectado por primera vez en 2022, ha sufrido cambios significativos en los últimos años. El programa adquirió nuevas capacidades, incluyendo la recopilación de información del sistema, el registro de pulsaciones de teclas, el túnelizado de tráfico, la ejecución remota de módulos y el seguimiento del contenido del portapapeles. Además, se implementaron mecanismos para robar credenciales de proxies HTTP y nuevos formatos de archivos de configuración. Todas estas funciones permiten a los atacantes supervisar en profundidad las acciones del usuario y controlar el sistema sin el conocimiento del propietario.
Para ejecutar CoolClient se utiliza con frecuencia la técnica de suplantación de bibliotecas DLL, mediante la cual la biblioteca maliciosa se carga a través de una aplicación legítima firmada. Entre las aplicaciones empleadas figuran productos de BitDefender, VLC, Ulead PhotoImpact y soluciones de la empresa Sangfor. Precisamente con las aplicaciones de Sangfor se inicia la versión más reciente de CoolClient registrada.
Merece atención el mecanismo de vigilancia del portapapeles y de las ventanas activas. CoolClient registra el contenido del portapapeles, los títulos de las ventanas y marcas temporales, y luego cifra esos datos y los guarda en un archivo separado en el disco duro. Esta función permite monitorizar en tiempo real las acciones del usuario, incluidos los datos copiados y las aplicaciones activas.
Además, al arsenal de los atacantes se sumó una nueva serie de programas destinados a robar credenciales guardadas en navegadores como Chrome, Edge y otros basados en Chromium. Se identificaron al menos tres variantes: algunas se ejecutan directamente y otras recurren a la carga por DLL.
Una característica distintiva es que en algunas versiones se implementa la posibilidad de procesar rutas a los datos en tiempo de ejecución, lo que permite adaptar de forma flexible el malware a distintos navegadores y configuraciones.
También se detectó el uso de scripts PowerShell y BAT que automatizan la recopilación de información del sistema, la búsqueda de documentos, el empaquetado de datos y su subida a recursos externos, incluidos servidores FTP y almacenamientos públicos como Pixeldrain. Los scripts pueden cerrar navegadores, comprimir directorios completos, extraer archivos de configuración de programas populares y transferirlos a los atacantes.
Según el análisis, la actividad está vinculada al grupo LuminousMoth, que anteriormente también fue asociado con HoneyMyte. Los programas de ambos grupos muestran código similar, emplean enfoques idénticos para el robo de datos y conservan archivos temporales con los mismos nombres.
De este modo, HoneyMyte demuestra no solo una actividad persistente, sino también una evolución tecnológica orientada a ampliar las capacidades de vigilancia y exfiltración de información. Las versiones actuales de sus herramientas permiten no solo acceder a documentos confidenciales, sino también establecer una observación permanente de las acciones de los usuarios dentro de los sistemas infectados.