Los investigadores de seguridad de Positive Technologies han descubierto una sofisticada campaña de malware denominada “Desert Dexter” que ha comprometido a más de 900 víctimas en todo el mundo desde septiembre de 2024.
El ataque, descubierto en febrero de 2025, se dirige principalmente a países de Oriente Medio y el norte de África, siendo Egipto, Libia, Emiratos Árabes Unidos, Rusia, Arabia Saudita y Turquía las regiones más afectadas.
Los actores de amenazas detrás de Desert Dexter emplean una estrategia de ingeniería social que aprovecha el clima geopolítico actual de la región.
Crean canales de noticias falsos en plataformas de redes sociales, particularmente Facebook, haciéndose pasar por medios de comunicación legítimos como Libya Press, Sky News y The Times of Israel.
Estos canales publican anuncios que contienen enlaces a archivos maliciosos alojados en servicios legítimos para compartir archivos o en canales de Telegram.
Cuando las víctimas hacen clic en estos enlaces, descargan archivos RAR que contienen scripts JavaScript o BAT maliciosos que inician una cadena de infección compleja.
Los archivos parecen contener información política sensible, explotando la curiosidad de los usuarios sobre los conflictos regionales.
Los investigadores de Positive Technologies señalaron que el malware implementado en estos ataques es una modificación sofisticada de AsyncRAT, personalizada para buscar billeteras de criptomonedas y establecer comunicación con un bot de Telegram.
Una vez instalado, crea persistencia modificando las claves de registro y reemplazando la carpeta de inicio del usuario con una ruta maliciosa.
Las víctimas abarcan varios sectores, incluidos la producción de petróleo, la construcción, la tecnología de la información y la agricultura.
El impacto generalizado demuestra cuán efectivas pueden ser las tácticas de ingeniería social cuando se combinan con servicios legítimos y señuelos geopolíticos.
La cadena de ataques de Desert Dexter emplea múltiples etapas de ofuscación. La infección inicial comienza con un archivo JavaScript que contiene código ofuscado como el siguiente fragmento:
var FCZRAVDNOIUC = «C:\\ProgramData\\YUFJQUSCFHVBYK.ps1»;
var XGCJFJGSLBOJF = «[REDACTED]»;
Luego, este script crea un archivo de PowerShell que contiene la carga útil principal. El malware emplea técnicas de carga reflexiva para inyectar AsyncRAT en procesos legítimos de Windows, específicamente dirigidos a archivos .NET framework como aspnet_compiler.exe.
El AsyncRAT modificado incluye un componente de registrador de teclas y verifica si hay extensiones de billetera de criptomonedas, incluidas Binance Wallet, Phantom y Trust Wallet.
También busca aplicaciones de billetera instaladas como Atomic Wallet y Bitcoin Core. La cadena de destrucción completa del ataque muestra cómo múltiples lenguajes de programación trabajan juntos para establecer persistencia y ejecutar la carga útil final.
La comunicación con los servidores de comando y control se produce a través de dominios DDNS vinculados a servicios VPN, lo que hace que la atribución sea un desafío, pero no imposible.
Los investigadores identificaron a un presunto miembro de Desert Dexter a través de capturas de pantalla capturadas inadvertidamente por el propio malware, lo que indica un posible origen libio.
