Puerta trasera de DRILLAPP
Analistas de ciberseguridad han identificado una nueva campaña de amenazas dirigida a organizaciones ucranianas, con indicios que sugieren la participación de actores vinculados a Rusia. Esta actividad, detectada por primera vez en febrero de 2026, presenta similitudes técnicas con una operación anterior atribuida al grupo conocido como Laundry Bear (también identificado como UAC-0190 o Void Blizzard). Dicha campaña anterior tuvo como objetivo a las fuerzas de defensa ucranianas y desplegó una familia de malware denominada PLUGGYAPE.
La última operación introduce una puerta trasera basada en JavaScript que se ejecuta a través del navegador Microsoft Edge. El malware, al que los investigadores denominan DRILLAPP, está diseñado para explotar las capacidades del navegador con el fin de subir y descargar archivos, acceder al micrófono y capturar imágenes de la cámara web de la víctima.
Los atacantes recurren a tácticas de ingeniería social para distribuir los componentes maliciosos. Utilizan señuelos que hacen referencia a asuntos legales o causas benéficas para incitar a las víctimas a abrir archivos maliciosos e iniciar la cadena de infección.
Tabla de contenido
Señuelos engañosos y método de infección inicial
Se han observado dos variantes distintas de la campaña. La primera versión, detectada a principios de febrero de 2026, utiliza un archivo de acceso directo de Windows (LNK) como mecanismo de distribución inicial. Al ejecutarse, el acceso directo crea un archivo de aplicación HTML (HTA) en el directorio temporal del sistema. Este archivo HTA recupera un script remoto alojado en el servicio legítimo de intercambio de texto Pastefy.
Para mantener la persistencia en los sistemas comprometidos, los atacantes copian el archivo LNK malicioso en la carpeta de inicio de Windows, asegurándose de que se ejecute automáticamente después de cada reinicio del sistema. Una vez que comienza la cadena de infección, las víctimas ven URL con temas engañosos, incluyendo instrucciones para instalar Starlink o referencias a la organización benéfica ucraniana Come Back Alive Foundation.
El archivo HTA se ejecuta finalmente a través del navegador Microsoft Edge, que funciona en modo sin interfaz gráfica, lo que permite al navegador ejecutar el script ofuscado obtenido de Pastefy sin mostrar una ventana de navegador estándar.
Explotación de parámetros del navegador para acceso sigiloso
Para maximizar sus capacidades, el proceso malicioso inicia el navegador Edge con múltiples parámetros que debilitan las protecciones de seguridad integradas y permiten el acceso no autorizado a recursos confidenciales del sistema.
Estos parámetros permiten que la instancia del navegador eluda las medidas de seguridad habituales y realice acciones normalmente restringidas por los modelos de seguridad del navegador. Esta configuración permite que el malware acceda a archivos locales, capture transmisiones de audio y video, y registre la actividad de la pantalla sin necesidad de interacción por parte de la víctima.
Los parámetros clave del navegador utilizados en el ataque incluyen:
--sin zona de pruebas
--deshabilitar-seguridad-web
--permitir-acceso-a-archivos-desde-archivos
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--deshabilitar la seguridad de los medios del usuario
Al abusar de estas configuraciones, el navegador se convierte en un componente funcional de la infraestructura del malware en lugar de ser simplemente una plataforma de distribución.
Capacidades de vigilancia y acceso no autorizado basado en navegador
El artefacto DRILLAPP funciona como una puerta trasera ligera pero versátil. Una vez activada, permite a los atacantes interactuar con el sistema infectado a través de las funcionalidades del navegador, transformando este último en una herramienta de vigilancia remota.
El malware es capaz de realizar varias operaciones que permiten una monitorización exhaustiva y la recopilación de datos de los dispositivos comprometidos.
Las capacidades principales incluyen:
- Carga y descarga de archivos desde el sistema local
- Captura de audio a través del micrófono del dispositivo
- Grabación de vídeo a través de la cámara web
- Tomar capturas de pantalla de la pantalla del sistema
- Generación de una huella digital única del dispositivo mediante técnicas de huella digital en lienzo.
Durante su primera ejecución, el malware genera una huella digital del dispositivo y utiliza Pastefy como un servidor de destino para obtener una dirección WebSocket empleada en las comunicaciones de comando y control. Esta arquitectura permite a los atacantes redirigir dinámicamente los sistemas infectados a su infraestructura operativa.
La puerta trasera también transmite la huella digital del dispositivo junto con la ubicación geográfica inferida de la víctima. La ubicación se determina a partir de la zona horaria del sistema y se compara con una lista predefinida que incluye el Reino Unido, Rusia, Alemania, Francia, China, Japón, Estados Unidos, Brasil, India, Ucrania, Canadá, Australia, Italia, España y Polonia. Si la zona horaria no coincide con ninguna de estas regiones, el malware identifica por defecto el sistema como ubicado en Estados Unidos.
Técnicas en evolución en la segunda variante de campaña
Una segunda versión de la campaña apareció a finales de febrero de 2026, introduciendo varias modificaciones pero manteniendo la estructura general del ataque. En lugar de depender de archivos de acceso directo LNK, la variante actualizada utiliza módulos del Panel de control de Windows como mecanismo de distribución inicial.
El componente de puerta trasera también recibió mejoras funcionales. Estas mejoras permiten que el malware realice operaciones más profundas en el sistema de archivos y mejoran su capacidad para extraer datos de entornos infectados.
Entre las mejoras más destacadas se incluyen la enumeración recursiva de archivos, la carga de archivos por lotes y la capacidad de descargar archivos arbitrarios directamente en el sistema comprometido.
Cómo sortear las restricciones de JavaScript con las herramientas de depuración de Chromium
Las restricciones de seguridad estándar de JavaScript suelen impedir que el código remoto descargue archivos directamente en el sistema de la víctima. Para sortear esta limitación, los atacantes utilizan el Protocolo de Herramientas para Desarrolladores de Chrome (CDP), una interfaz de depuración interna empleada por los navegadores basados en Chromium.
Solo se puede acceder a CDP cuando el navegador se inicia con el parámetro --remote-debugging-port habilitado. Al activar esta función de depuración, los atacantes obtienen la capacidad de controlar el comportamiento del navegador mediante programación y eludir las restricciones típicas del lado del cliente, lo que permite descargas remotas de archivos que de otro modo estarían bloqueadas.
Indicadores de desarrollo temprano e infraestructura experimental
La evidencia sugiere que el malware aún se encuentra en desarrollo activo. Una variante temprana descubierta el 28 de enero de 2026 se comunicaba exclusivamente con el dominio 'gnome.com' en lugar de obtener su carga útil principal de Pastefy.
Este comportamiento indica que los ciberdelincuentes podrían estar perfeccionando tanto su infraestructura como las capacidades operativas de la puerta trasera.
El abuso del navegador como estrategia de evasión emergente
Uno de los aspectos más significativos de la campaña es el uso deliberado de un navegador web como entorno de ejecución principal para la puerta trasera. Este enfoque pone de manifiesto una tendencia creciente en la que los atacantes reutilizan software legítimo para evadir la detección.
Los navegadores ofrecen varias ventajas para las operaciones maliciosas. Su uso generalizado y su aparente inocuidad reducen la probabilidad de levantar sospechas de inmediato. Además, los parámetros de depuración del navegador pueden desbloquear potentes funcionalidades que permiten acciones que de otro modo estarían restringidas, como la descarga remota de archivos y el acceso extenso al sistema.
Además, los navegadores mantienen permisos legítimos para interactuar con recursos de hardware sensibles, como micrófonos, cámaras y mecanismos de captura de pantalla, lo que permite a los atacantes realizar actividades de vigilancia sin que el sistema se vea afectado por su funcionamiento normal.
