35 KB contra toda una empresa: el framework FalkonC2 ya apunta a la contabilidad de su empresa
Ni archivos ni rastros: solo sus datos financieros en un servidor ajeno.
Las redes corporativas rara vez son víctimas de ataques fortuitos: la mayoría de las intrusiones emplea herramientas cuidadosamente diseñadas y desarrolladas para objetivos concretos. Los analistas de Flare detectaron y analizaron FalkonC2 —un marco comercial para el control remoto de dispositivos infectados. Sus autores lo orientaron desde el principio al segmento corporativo: el sistema está escrito desde cero en C++ y MASM64 y fue creado para operar en redes con protección profesional.
El módulo clave del marco, Rotemelli2, pesa entre 23 y 35 KB, no escribe nada en el disco y evade deliberadamente los sistemas de protección corporativos de la clase EDR y XDR —conjuntos de software que monitorean la actividad sospechosa en los endpoints. Para comunicarse con los servidores de mando, FalkonC2 alterna entre varios protocolos, incluido el tunelizado DNS y señales ICMP. Los dominios de comunicación cambian cada 72 horas, lo que dificulta considerablemente el rastreo a nivel de red.
En una de las demostraciones de prueba los autores mostraron cómo la herramienta legítima de acceso remoto ConnectWise ScreenConnect se renombra, se ejecuta de forma oculta y luego carga un módulo malicioso en la memoria y eleva privilegios hasta el nivel de administrador del sistema de Windows. No deja rastros en el disco: solo actividad poco perceptible en la memoria RAM.
Merece atención aparte la función que comprueba si las máquinas infectadas tienen software contable —Intuit QuickBooks y Sage50 Accounting. Los equipos con ese software reciben prioridad para la extracción automática de datos. El panel de control filtrado de FalkonC2 mostró infecciones activas en redes corporativas de EE. UU., Australia, Países Bajos y Polonia. Al momento de la publicación del informe no se habían producido detenciones ni cierres de la infraestructura.
Flare sigue rastreando el marco que, según la información disponible, evoluciona hacia ataques contra entornos corporativos. Para reducir el riesgo se recomienda controlar las herramientas de acceso remoto autorizadas, monitorizar los clientes RMM renombrados, vigilar el tráfico DNS e ICMP inusual, habilitar la comprobación de memoria y almacenar la telemetría de las investigaciones en sistemas externos —para que una posible falla local no borre las evidencias del ataque.