Opera ya no es la misma: cómo los hackers esconden sus herramientas tras los iconos de programas populares
Analizamos la anatomía de la amenaza que podría instalarse en tu equipo.
El grupo Sandworm volvió a hacerse notar — en esta ocasión mediante un esquema complejo de acceso oculto a sistemas infectados. Especialistas en seguridad informática registraron ataques en los que los atacantes no solo se infiltran en la red, sino que establecen dentro de ella una infraestructura resistente y casi invisible para el control remoto.
El equipo 360 detectó varias muestras maliciosas vinculadas a APT-C-13, también conocido como Sandworm. El ataque comienza con un correo dirigido que contiene un archivo comprimido, dentro del cual hay un acceso directo que se hace pasar por un documento. Al ejecutarlo, dicho archivo despliega una cadena de componentes y ejecuta en silencio el script principal. Paralelamente se muestra un señuelo en forma de PDF normal para no despertar sospechas.
A continuación el código malicioso despliega en el dispositivo dos servicios a la vez — Tor y SSH — ocultándolos cuidadosamente bajo la apariencia de programas legítimos como Dropbox u Opera GX. A través de Tor se crea un servicio oculto con su propia dirección .onion, que da a los atacantes acceso directo a los puertos internos del sistema, incluido el escritorio remoto y los recursos de archivos. Al mismo tiempo, el servidor SSH funciona solo de forma local y acepta conexiones exclusivamente a través de Tor, lo que lo hace prácticamente invisible para las herramientas de monitorización estándar.
Para persistir en el sistema se utilizan tareas del Programador de tareas que ejecutan los componentes maliciosos cada vez que un usuario inicia sesión. Estas tareas están ocultas a la interfaz habitual y no tienen límite de tiempo de ejecución. Adicionalmente, el script comprueba el entorno en busca de indicios de máquina virtual o sandbox; si detecta posibles análisis, la ejecución se detiene.
Se presta especial atención al camuflaje del tráfico. El malware emplea el protocolo obfs4, que convierte el flujo de Tor en un conjunto aleatorio de datos. Este enfoque ayuda a sortear los sistemas de filtrado y el análisis profundo de paquetes, manteniendo una conexión estable con los servidores de mando en la darknet.
El análisis mostró que la campaña actual desarrolla los métodos anteriores de Sandworm. Si antes se usaban canales de control más simples, ahora se trata de un esquema multinivel con cifrado, anonimato y acceso permanente a la red interna. Como resultado, los atacantes obtienen prácticamente un punto «en la sombra» de administración dentro de la infraestructura de la víctima.
La relación con Sandworm la confirman técnicas características: camuflaje como aplicaciones populares, uso del Programador de tareas y la combinación de Tor con SSH. Además, se hallaron artefactos que indican un origen de Europa del Este de las muestras y su orientación temática.
APT-C-13 continúa evolucionando, centrando su atención en la sigilosidad y la resiliencia. El nuevo esquema de ataques complica la detección y exige un control más atento de la actividad de la red y del comportamiento de los procesos del sistema.