Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Puerta trasera CABINETRAT

Puerta trasera CABINETRAT

Por Mezo en Software malicioso, Puertas traseras
Traducir a:

Investigadores de seguridad informática han publicado una alerta sobre una campaña dirigida, observada en septiembre de 2025, que instala una puerta trasera en lenguaje C, identificada como CABINETRAT. Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), la actividad se atribuye a un clúster identificado (UAC-0245) después de que los analistas descubrieran complementos de Microsoft Excel (archivos XLL) utilizados en la cadena de ataque.

Archivos ZIP y un documento policial falso

Según los informes, los atacantes empaquetaron los XLL maliciosos en archivos ZIP y los distribuyeron a través de la aplicación de mensajería Signal, haciéndose pasar por un documento relacionado con detenciones en la frontera ucraniana. Cuando la víctima extrae y abre el XLL, comienza la secuencia de descarga.

Lo que crea el gotero

Se están generando varios archivos en los sistemas comprometidos, incluidos:

  • un EXE colocado en la carpeta de inicio de Windows
  • un XLL llamado BasicExcelMath.xll en %APPDATA%\Microsoft\Excel\XLSTART\
  • un PNG llamado Office.png que en realidad lleva incorporado un shellcode

Estos archivos se crean en el host como parte de la persistencia y la preparación de la carga útil.

Cómo se activa la carga útil

El XLL implantado configura las entradas del Registro para garantizar que el archivo EXE se ejecute al inicio. A continuación, inicia Excel (excel.exe) con la opción /e (incrustar) en modo oculto para que el complemento se cargue silenciosamente. El XLL cargado extrae el código shell oculto dentro de la imagen PNG que lo acompaña; ese código shell es el implante CABINETRAT. Las instrucciones de Microsoft indican que los complementos XLL no confiables suelen ser utilizados de forma abusiva por actores maliciosos, y las versiones modernas de Excel bloquean los XLL no confiables por defecto. Sin embargo, la ingeniería social y la aprobación del usuario aún pueden permitir su ejecución.

Medidas anti-análisis y sandbox

Tanto el cargador XLL como el shellcode en memoria realizan comprobaciones anti-VM y anti-análisis. Entre los ejemplos observados se incluyen la verificación de al menos dos núcleos de CPU, la comprobación de un mínimo de ~3 GB de RAM y la búsqueda de artefactos de virtualización o análisis (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Estas comprobaciones tienen como objetivo interrumpir o modificar el comportamiento en entornos de laboratorio/sandbox y reducir la probabilidad de detección.

Capacidades maliciosas de CABINETRAT

CABINETRAT es una puerta trasera completa escrita en C. Sus capacidades documentadas incluyen: enumeración del sistema (información del sistema operativo y hardware), listado de aplicaciones instaladas, captura de pantalla, enumeración de directorios, eliminación de archivos o carpetas específicos, ejecución de comandos arbitrarios y carga/descarga de archivos. Las comunicaciones de red se realizan mediante un canal TCP con la infraestructura remota de Comando y Control (C2), lo que permite a los operadores interactuar con los hosts infectados.

Campañas similares contra Ucrania

Esta revelación se produce tras otras campañas altamente selectivas contra entidades ucranianas. Investigadores informaron recientemente de otra operación de phishing sin archivos que suplantaba a la Policía Nacional de Ucrania y distribuyera cargas útiles como Amatera Stealer (robo de datos) y PureMiner (criptominería), lo que demuestra que se están utilizando múltiples vectores y familias de malware en paralelo contra organizaciones de la región.

Monitorear, aislar, remediar

Dada la naturaleza activa y específica de esta campaña y las tácticas antianálisis de los operadores, los defensores deben asumir que cualquier archivo sospechoso entregado por Signal que contenga complementos de Office es potencialmente malicioso. Priorice la contención de hosts sospechosos, recopile artefactos volátiles (listas de procesos, memoria, conexiones de red) y comparta los indicadores confirmados con CERT-UA o su CSIRT local para ayudar a identificar e interrumpir las operaciones del actor.

Tendencias

Mas Visto

Cargando...