Los cibercriminales vinculados con la familia de ransomware Qilin han empleado el malware SmokeLoader junto con un nuevo cargador en .NET previamente no documentado, apodado NETXLOADER, como parte de una campaña observada en noviembre de 2024.

“NETXLOADER es un novedoso cargador basado en .NET que cumple una función clave en los ciberataques”, señalaron los investigadores de Trend Micro —Jacob Santos, Raymart Yambot, John Rainier Navato, Sarah Pearl Camiling y Neljorn Nathaniel Aguas— en un informe publicado el miércoles.

Aunque opera de manera encubierta, este cargador permite desplegar de forma sigilosa otras amenazas como el ransomware Agenda y SmokeLoader. NETXLOADER está protegido mediante .NET Reactor 6, lo que dificulta considerablemente su análisis.

Qilin —también conocido como Agenda— ha estado activo desde su aparición en julio de 2022 y continúa siendo una amenaza significativa. En 2024, la firma de ciberseguridad Halcyon identificó una versión mejorada del malware, a la que denominó Qilin.B.

De acuerdo con datos recientes de Group-IB, el número de filtraciones publicadas en el sitio de Qilin se ha más que duplicado desde febrero de 2025, posicionando al grupo como el actor de ransomware más activo en abril, superando a otros como Akira, Play y Lynx.

“Entre julio de 2024 y enero de 2025, los afiliados de Qilin no superaron las 23 divulgaciones mensuales”, indicó la empresa con sede en Singapur. “Sin embargo, a partir de febrero, la actividad se disparó, con 48 casos ese mes, 44 en marzo y 45 solo en las primeras semanas de abril”.

El auge de Qilin también se relaciona con la repentina desaparición de RansomHub a inicios del mes pasado. Según Flashpoint, RansomHub fue el segundo grupo de ransomware más activo de 2024, con 38 víctimas en el sector financiero entre abril de 2024 y abril de 2025.

Según Trend Micro, en el primer trimestre de 2025 el ransomware Agenda se dirigió principalmente a los sectores de salud, tecnología, finanzas y telecomunicaciones, con ataques en EE.UU., Países Bajos, Brasil, India y Filipinas.

NETXLOADER fue descrito por la compañía como un cargador fuertemente ofuscado, diseñado para recuperar cargas útiles adicionales desde servidores remotos —como “bloglake7[.]cfd”—, que luego se emplean para desplegar tanto SmokeLoader como Agenda.

Protegido por .NET Reactor versión 6, NETXLOADER incorpora múltiples técnicas para evadir la detección y dificultar el análisis, incluyendo manipulación del flujo de control, nombres de métodos irreconocibles y técnicas de enganche justo a tiempo (JIT).

“El uso de NETXLOADER marca un importante paso en la evolución del malware”, afirmó Trend Micro. “Su alta ofuscación oculta completamente la carga útil, haciendo que solo pueda identificarse al ejecutar y analizar el código en memoria. Incluso el análisis basado en cadenas resulta ineficaz debido al nivel de ofuscación aplicado”.

Se ha observado que las cadenas de ataque utilizan cuentas válidas comprometidas y campañas de phishing como vectores iniciales para instalar NETXLOADER, el cual luego despliega SmokeLoader en el sistema.

SmokeLoader lleva a cabo diversas técnicas para evitar entornos de análisis, además de finalizar procesos específicos previamente definidos. En su etapa final, establece comunicación con un servidor C2 para descargar NETXLOADER, que lanza el ransomware Agenda mediante la técnica de carga reflectiva de DLL.

“El grupo Agenda continúa evolucionando, incorporando funciones orientadas a maximizar la disrupción”, concluyeron los investigadores. “Sus objetivos incluyen redes de dominio, dispositivos conectados, sistemas de almacenamiento y entornos virtuales como VCenter ESXi”.

Fuente: thehackernews.com