Diversos grupos de ransomware han comenzado a emplear un malware denominado Skitnet en sus etapas posteriores a la explotación, con el objetivo de robar información sensible y establecer control remoto sobre los sistemas comprometidos.

Según la firma suiza de ciberseguridad PRODAFT, “Skitnet ha estado disponible en foros clandestinos como RAMP desde abril de 2024”. Sin embargo, desde principios de 2025, se ha detectado su uso en ataques reales por parte de varios operadores de ransomware.

Por ejemplo, en abril de 2025, el grupo Black Basta incorporó Skitnet en campañas de phishing mediante Microsoft Teams, dirigidas a entornos corporativos. Gracias a su estructura flexible y funciones encubiertas, el malware está ganando popularidad rápidamente dentro del ecosistema del ransomware.

Skitnet, también conocido como Bossnet, es una amenaza de múltiples fases desarrollada por un actor malicioso identificado por PRODAFT como LARVA-306. Una de sus características más destacadas es el uso de los lenguajes de programación Rust y Nim para ejecutar un shell inverso a través de DNS, lo que le permite evitar ser detectado.

El malware también cuenta con mecanismos de persistencia, capacidades de acceso remoto, funciones para la exfiltración de datos y la descarga de un binario .NET que puede ser utilizado para desplegar cargas adicionales, haciéndolo extremadamente versátil.

Detalles técnicos

Anunciado por primera vez el 19 de abril de 2024, Skitnet se comercializa como un “paquete compacto”, que incluye un servidor y el propio malware. El ejecutable principal es un binario en Rust, encargado de descifrar y ejecutar una carga embebida escrita en Nim.

“La principal función del binario en Nim es establecer una conexión de shell inversa con el servidor de comando y control (C2) utilizando resolución DNS”, señaló PRODAFT. “Para evitar ser detectado, utiliza la función GetProcAddress para resolver dinámicamente las direcciones de funciones API, en lugar de recurrir a tablas de importación convencionales”.

Este componente basado en Nim ejecuta múltiples hilos que cada 10 segundos envían solicitudes DNS, leen las respuestas, extraen comandos y devuelven los resultados al servidor C2. Los atacantes controlan todo el proceso a través de un panel C2 diseñado para gestionar los sistemas infectados.

Algunos de los comandos de PowerShell que el malware puede ejecutar incluyen:

  • Inicio: asegura la persistencia creando accesos directos en la carpeta de Inicio del dispositivo.
  • Pantalla: toma capturas de pantalla del escritorio del usuario.
  • Anydesk/Rutserv: instala software legítimo de acceso remoto como AnyDesk o Remote Utilities.
  • Shell: ejecuta scripts PowerShell alojados de forma remota y envía los resultados al C2.
  • AV: recopila una lista de los productos de seguridad instalados.

“Skitnet es un malware multietapa que emplea múltiples lenguajes de programación y técnicas de cifrado”, explicó PRODAFT. “A través del uso de Rust para descifrar la carga útil y realizar el mapeo manual, seguido de una shell inversa en Nim que se comunica vía DNS, intenta evadir los mecanismos de seguridad tradicionales”.

Otras amenazas activas

La revelación coincide con un informe de Zscaler ThreatLabz sobre otro cargador de malware denominado TransferLoader, utilizado para distribuir una variante de ransomware conocida como Morpheus, que ha tenido como objetivo un bufete de abogados estadounidense.

Activo desde al menos febrero de 2025, TransferLoader está compuesto por tres elementos principales: un descargador, una puerta trasera y un cargador especializado para esta última, permitiendo a los atacantes ejecutar comandos arbitrarios en los sistemas infectados.

El descargador busca e inicia una carga útil desde un servidor C2, ejecutando al mismo tiempo un archivo señuelo en formato PDF. Por su parte, la puerta trasera es la encargada de ejecutar los comandos del servidor y actualizar su configuración interna.

Como canal de comunicación alternativo para el servidor C2, esta puerta trasera utiliza la red descentralizada del Sistema de Archivos Interplanetarios (IPFS), lo que complica la detección. Los desarrolladores también aplican técnicas de ofuscación para dificultar el análisis inverso del código.

Fuente: thehachernews.com

You May Also Like

Posible filtración de datos afecta a 400,000 clientes de ENEL PERÚ

HKN FEED

Alerta de día cero: Google Chrome bajo ataque activo, explotando una nueva vulnerabilidad

HKN FEED

Los piratas informáticos aprovecharon la vulnerabilidad de ColdFusion para violar los servidores de la agencia federal

HKN FEED