¿Juegas a Clash? Hackers iraníes usan ese nombre para hackear equipos
Así se hacen pasar los programas maliciosos por chats normales en el móvi
A veces una campaña maliciosa la delata no un código complejo, sino un detalle pequeño. En la nueva actividad del grupo MuddyWater ese detalle fueron los nombres de los bots de Telegram.
Especialistas de Synaptic estudiaron una muestra del malware LampoRAT, que ya se había descrito antes. El programa funciona como un troyano remoto y se controla a través de Telegram. Tras la infección, el sistema se conecta al token del bot previamente establecido, recibe comandos del operador, los ejecuta en la línea de comandos de Windows y envía el resultado de vuelta por el mismo mensajero. Ese canal parece tráfico cifrado normal hacia Telegram y casi no destaca frente a la actividad legítima.
Llamó la atención el nombre de uno de los bots: stager_51_bot. En las herramientas de los atacantes, "stager" suele designar el módulo inicial que se instala en el sistema y descarga componentes adicionales. El número 51 en el nombre parecía parte de una secuencia.
A continuación probaron una hipótesis sencilla. Tomaron la plantilla stager_X_bot y recorrieron valores del 1 al 100, comprobando qué nombres ya estaban ocupados. Para eso ni siquiera necesitaron acceso a la API de Telegram: bastó la interfaz web del mensajero, que muestra los nombres existentes.
Como resultado, encontraron varios bots con nombres similares: stager_55_bot, stager_56_bot, stager_58_bot y hasta stager_64_bot. Parte de ellos sigue en funcionamiento.
Al mirar los identificadores de los bots de Telegram, la situación no fue tan sencilla. Los identificadores normalmente aumentan con el tiempo, pero en este caso el orden no coincide con los números en los nombres. Los bots con números "más grandes" no siempre son más nuevos. Esa inconsistencia sugiere que la numeración se eligió no por la fecha de creación, sino por la lógica interna del operador o la herramienta.
Igual de extraños fueron los nombres visibles. Entre ellos aparecen palabras aleatorias como Olalampo, Nikoro o foltinao, nombres de juegos como HayDay y Clash, así como variantes muy generales como apple, bot o active. Los traductores insisten en asignar las palabras inventadas al mismo idioma, aunque no tienen un significado real.
No hay pruebas directas de que todos los bots encontrados pertenezcan a la misma campaña MuddyWater. La conexión se basa en la coincidencia de patrones de nombres y tiempo de actividad, por lo que las conclusiones siguen siendo hipótesis.
No obstante, el propio enfoque es interesante. En lugar de cazar indicadores de compromiso individuales, se pueden rastrear plantillas repetidas. En el caso de LampoRAT ya es posible bloquear de antemano las llamadas a identificadores de bots conocidos mediante la API de Telegram o supervisar solicitudes sospechosas al servicio.