Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware TransferLoader

Malware TransferLoader

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Investigadores de seguridad están estableciendo vínculos entre los actores notorios responsables del RAT RomCom y un cargador de malware denominado TransferLoader. Esta campaña, que ha atacado entidades con espionaje y ransomware, destaca técnicas sofisticadas e infraestructuras superpuestas que exigen un escrutinio minucioso.

Dos grupos de actores de amenazas: TA829 y UNK_GreenSec

Los investigadores de ciberseguridad han atribuido la actividad relacionada con TransferLoader a dos grupos principales de actores de amenazas:

  • TA829, también rastreado bajo alias como RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 y Void Rabisu.
  • UNK_GreenSec, un clúster menos conocido que opera en paralelo con tácticas similares.

TA829 destaca por sus operaciones híbridas, que combinan espionaje y ataques con fines financieros. Este grupo, alineado con Rusia, ha aprovechado previamente vulnerabilidades de día cero en Mozilla Firefox y Microsoft Windows para implementar RomCom RAT, atacando a organizaciones globales de alto valor.

TransferLoader: Aparición y rol en campañas de malware

TransferLoader se identificó por primera vez en febrero de 2025 durante una campaña relacionada con el ransomware Morpheus, una versión renombrada del ransomware HellCat. El malware se utilizó contra un bufete de abogados estadounidense anónimo. A diferencia de RomCom, TransferLoader funciona principalmente como un mecanismo de entrega sigiloso, lo que permite la implementación de cargas útiles maliciosas adicionales como Metasploit y Morpheus.

La misión de TransferLoader es simple: permanecer sin ser detectado y distribuir más malware.

Explotación de la infraestructura proxy REM

Tanto TA829 como UNK_GreenSec dependen de servicios de proxy REM, que suelen estar alojados en enrutadores MikroTik comprometidos. Estos proxies se utilizan para enrutar tráfico malicioso, ocultando su verdadero origen. Los grupos utilizan esta infraestructura para:

  • Enviar correos electrónicos de phishing a través de servicios de correo gratuito (por ejemplo, Gmail, ukr.net)
  • Retransmitir tráfico para ocultar la actividad ascendente
  • Lanzar campañas utilizando cuentas de correo electrónico recién creadas y comprometidas

Los investigadores sospechan del uso de herramientas de creación de correo electrónico que generan en masa direcciones de remitentes como ximajazehox333@gmail.com y hannahsilva1978@ukr.net para la distribución de phishing.

Mecánica del phishing y entrega de carga útil

Los mensajes de phishing enviados por ambos grupos suelen contener enlaces incrustados en el cuerpo del correo electrónico o en archivos PDF adjuntos. Las víctimas que hacen clic en estos enlaces son sometidas a una cadena de redirecciones a través de Rebrandly, que finalmente terminan en páginas falsificadas de Google Drive o Microsoft OneDrive. Estas redirecciones incluyen mecanismos para:

  • Evitar entornos sandbox
  • Filtrar sistemas que no sean de interés
  • Entregar diferentes cargas útiles finales según el grupo de amenaza

Caminos de ataque divergentes :

  • UNK_GreenSec usa esta ruta para implementar TransferLoader
  • TA829 redirige los objetivos al malware SlipScreen

Herramientas e infraestructura compartidas

Ambos grupos de actores demuestran conjuntos de herramientas y opciones de infraestructura superpuestos:

  • Uso de la utilidad PLINK de PuTTY para establecer túneles SSH
  • Alojamiento de utilidades maliciosas en servicios IPFS (Sistema de archivos interplanetario)
  • Aprovechamiento de puntos finales de redirección dinámicos basados en PHP para el filtrado de tráfico

Estos métodos compartidos sugieren una posible coordinación o adopción mutua de tácticas eficaces.

Temas de ingeniería social y tácticas de difusión

Las campañas que involucran a TransferLoader a menudo se hacen pasar por correos electrónicos de oportunidades laborales, atrayendo a las víctimas con enlaces que supuestamente conducen a currículums en PDF. En realidad, el enlace activa la descarga de TransferLoader alojado en recursos compartidos IPFS.

Aspectos técnicos clave de las operaciones de TransferLoader

Evade la detección: utiliza redirección, filtrado y alojamiento descentralizado para eludir las defensas tradicionales.

Entrega de carga útil: actúa como un cargador para malware más peligroso, incluido ransomware y herramientas de acceso remoto.

Técnicas diferenciadas: emplea estructuras de redireccionamiento únicas (puntos finales de JavaScript a PHP) para respaldar la entrega de contenido dinámico.

Conclusión: Comprender la amenaza TransferLoader

TransferLoader representa una amenaza significativa como cargador oculto capaz de permitir ataques de alto impacto. Su uso por parte de UNK_GreenSec y TA829 ilustra cómo los grupos cibercriminales siguen innovando, compartiendo herramientas y explotando la infraestructura descentralizada para evitar ser detectados y lograr sus objetivos.

Los indicadores de la amenaza TransferLoader incluyen:

  • Uso de los servicios de REM Proxy
  • Señuelos de correo electrónico que hacen referencia a solicitudes de empleo o currículums
  • Cadenas de redireccionamiento que involucran enlaces de Rebrandly
  • Cargas útiles alojadas en plataformas basadas en IPFS

Las organizaciones deben permanecer vigilantes, implementar filtros robustos de correo electrónico y de la web y monitorear continuamente el comportamiento anormal de la red vinculado a estas tácticas.

Tendencias

Mas Visto

Cargando...