EncryptRAT

El actor de amenazas con motivaciones económicas conocido como EncryptHub ha estado orquestando activamente campañas avanzadas de phishing para implementar ladrones de información y ransomware. Además, el grupo está trabajando en una nueva herramienta de amenazas llamada EncryptRAT, lo que indica su continua evolución en el panorama del cibercrimen.

Cómo dirigirse a aplicaciones populares y utilizar servicios PPI

Se ha observado que EncryptHub distribuye versiones troyanizadas de aplicaciones ampliamente utilizadas para infiltrarse en los sistemas de las víctimas. El grupo también aprovecha servicios de pago por instalación (PPI) de terceros, como LabInstalls, para ampliar el alcance de sus campañas de malware.

Errores de seguridad operacional y utilización de exploits

Los investigadores de ciberseguridad han identificado a EncryptHub como un grupo de piratas informáticos que comete errores de seguridad operativa con frecuencia. A pesar de estos errores, el grupo integra con éxito exploits para vulnerabilidades de seguridad ampliamente conocidas en sus ataques, lo que los convierte en una amenaza persistente.

Amenaza emergente: LARVA-208 y ataques multicanal

También rastreado por una empresa suiza de ciberseguridad como LARVA-208, se cree que EncryptHub comenzó a estar activo en junio de 2024. El grupo emplea varios vectores de ataque, incluido el phishing por SMS (smishing) y el phishing de voz (vishing), para engañar a las víctimas para que instalen software de monitoreo y administración remota (RMM).

Afiliaciones con los principales grupos de ransomware

EncryptHub tiene fuertes vínculos con los grupos RansomHub y Blacksuit Ransomware . Durante los últimos nueve meses, ha comprometido más de 618 objetivos de alto valor en múltiples industrias utilizando técnicas avanzadas de ingeniería social. Una táctica común implica sitios web de phishing diseñados para robar credenciales de VPN, seguido de una llamada haciéndose pasar por el soporte de TI para persuadir a las víctimas de que ingresen sus datos. En los casos en que no se utilizan llamadas, los enlaces falsos de Microsoft Teams sirven como cebo.

Hospedaje a prueba de balas e implementación de malware

Para evadir la detección, EncryptHub aloja sitios de phishing en proveedores de alojamiento a prueba de balas como Yalishand. Una vez que obtiene acceso, el atacante ejecuta scripts de PowerShell para instalar malware ladrón como Fickle , StealC y Rhadamanthys . En la mayoría de los casos, el objetivo final es implementar ransomware y extorsionar el pago de un rescate.

Las aplicaciones troyanizadas como punto de entrada clave

Otro método que se utiliza habitualmente consiste en disfrazar el malware como software legítimo. EncryptHub ha estado distribuyendo versiones falsas de aplicaciones como QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 y Palo Alto Global Protect. Una vez instaladas, estas aplicaciones falsificadas inician un proceso de varias etapas que, con el tiempo, entrega cargas útiles inseguras, como Kematian Stealer, para recopilar cookies del navegador y otros datos confidenciales.

LabInstalls: un elemento crucial en la distribución de malware

Desde al menos el 2 de enero de 2025, EncryptHub ha dependido de LabInstalls, un servicio PPI que ofrece la instalación masiva de malware por una tarifa. Los precios varían desde $10 por 100 cargas hasta $450 por 10,000 cargas. EncryptHub confirmó el uso del servicio dejando comentarios positivos en un foro clandestino de habla rusa, incluso compartiendo una captura de pantalla como evidencia. Esto sugiere que el actor está subcontratando la distribución para escalar sus operaciones de manera más eficiente.

EncryptRAT: la próxima evolución en el cibercrimen

EncryptHub está desarrollando activamente EncryptRAT, un panel de comando y control (C2) diseñado para administrar sistemas infectados, ejecutar comandos remotos y acceder a datos robados. Algunas evidencias sugieren que el grupo podría estar planeando comercializar esta herramienta, lo que podría aumentar su amenaza tanto para empresas como para individuos.

La necesidad de vigilancia y defensa proactiva

La adaptación y evolución continuas de EncryptHub ponen de relieve la necesidad urgente de que las organizaciones adopten estrategias de seguridad de múltiples capas. La supervisión constante, las medidas de defensa proactivas y la formación de los usuarios son esenciales para mitigar los riesgos que plantea esta creciente amenaza cibernética.