• 2 min de lectura
Aplicaciones troyanizadas de Zoom y WebEx propagan Starland RAT
Cisco Talos dice que el actor de amenazas ruso UAT-11795 ha utilizado instaladores falsos desde junio de 2025 para robar credenciales y criptoactivos, orientándose principalmente a usuarios en EE. UU.

Imagen: BleepingComputer
Un actor de amenazas ruso con motivación económica conocido como UAT-11795 ha estado usando versiones troyanizadas de WebEx, Zoom, MobaXterm, DBeaver y FaceIT para desplegar una nueva puerta trasera llamada Starland RAT, según Cisco Talos. La campaña ha estado activa al menos desde junio de 2025 y se ha dirigido principalmente a usuarios en EE. UU., con víctimas adicionales observadas en Alemania, Rumanía y Venezuela.
Talos no pudo confirmar el vector de infección inicial, pero los investigadores sospechan que los archivos maliciosos pueden distribuirse mediante el método ClickFix. El ataque comienza con un archivo HTA que descarga un instalador NSIS troyanizado que contiene un cargador en Python disfrazado como LICENSE.txt. Ese cargador modifica el Registro de Windows para lograr persistencia, y luego descifra y lanza Starland RAT.
Una vez activo, el malware comprueba si corre en entornos sandbox, crea tareas programadas y entradas en la carpeta de Inicio, e intenta elevar privilegios. Talos indica que recopila:
- Datos de navegador y activos de carteras de criptomonedas, incluidos datos de más de 40 monederos de escritorio y extensiones para navegador
- Detalles del sistema como HWID, RAM, procesador, sistema operativo, nombre del equipo, región, dirección IP pública y productos antivirus instalados
- Información de Active Directory, incluida la estructura de dominios, los controladores de dominio y los privilegios de dominio de la víctima
Starland RAT también puede tomar capturas de pantalla, ejecutar comandos de shell, inyectar shellcode de 32 o 64 bits y descargar cargas adicionales, incluidos EXE, MSI, DLL y ZIP. En los ataques observados por Talos, la cadena de shellcode de 64 bits desplegó CastleStealer, mientras que la cadena de 32 bits entregó Remcos RAT.
CastleStealer apunta a credenciales de navegador, carteras de criptomonedas, sesiones de Discord y Telegram, credenciales de Steam y archivos locales. Remcos RAT añade funciones como registro de pulsaciones de teclas, captura de webcam y de pantalla, grabación de audio, monitorización del portapapeles, gestión de archivos y ejecución remota de comandos.

Recomendado
La IA todavía no reemplazará a los pentesters
Talos también encontró resiliencia en la configuración de comando y control del malware. Si una dirección codificada falla, Starland puede consultar un contrato inteligente de Polygon para recuperar un dominio alternativo cifrado con XOR. Los investigadores también identificaron un framework C2 en PowerShell no documentado previamente llamado WLDR, que utiliza beaconing cifrado con PBKDF2-SHA256, se ejecuta completamente en memoria y vincula la entrega de cargas útiles al identificador de hardware de cada víctima.
Cisco Talos recomienda que las organizaciones utilicen los indicadores de compromiso publicados en su informe, mientras que los usuarios deben evitar ejecutar comandos que no entiendan y descargar software solo desde los sitios oficiales verificados del proveedor.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


