Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware XDigo

Malware XDigo

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Investigadores de ciberseguridad han descubierto una nueva campaña de ciberespionaje que involucra a un ladrón basado en Go, denominado XDigo, que se implementó en marzo de 2025 contra organizaciones gubernamentales de Europa del Este. El malware está vinculado al grupo de actores de amenazas persistentes XDSpy, activo en la región desde al menos 2011.

El regreso de XDSpy: una década de vigilancia

XDSpy es un grupo de ciberespionaje bien documentado, conocido por atacar a agencias gubernamentales en Europa del Este y los Balcanes. Analizado públicamente por primera vez en 2020, XDSpy ha mantenido un patrón de actividad constante, evolucionando sus herramientas y el alcance de sus ataques a lo largo de los años.

Campañas recientes atribuidas al grupo han afectado a organizaciones en Rusia y Moldavia, implementando familias de malware como UTask, XDDown y DSDownloader, herramientas diseñadas para descargar cargas útiles adicionales y extraer datos confidenciales de los sistemas infectados.

Exploits LNK: El peligro oculto tras los accesos directos de Windows

La campaña XDigo emplea una cadena de ataque de múltiples etapas que comienza con archivos de acceso directo de Windows (.LNK), explotando una vulnerabilidad de ejecución remota de código en Microsoft Windows identificada como ZDI-CAN-25373, divulgada públicamente en marzo de 2025.

Esta vulnerabilidad surge del manejo inadecuado de archivos LNK especialmente diseñados, lo que permite que el contenido malicioso permanezca invisible en la interfaz de usuario, pero aun así ejecute código en el contexto del usuario actual. Una inspección más detallada reveló un subconjunto de nueve archivos LNK de este tipo, que explotaban una falla de confusión de análisis causada por la implementación parcial de la especificación MS-SHLLINK (v8.0) por parte de Microsoft.

Confusión de análisis: especificación vs. implementación

La especificación MS-SHLLINK permite longitudes de cadena de hasta 65 535 caracteres, pero Windows 11 limita el contenido real a 259 caracteres, con la excepción de los argumentos de la línea de comandos. Esta discrepancia genera inconsistencias en la interpretación de los archivos LNK en las distintas plataformas.

Los atacantes aprovechan esta brecha creando archivos LNK que parecen válidos o no válidos según el analizador, lo que permite:

  • Ejecución de comandos inesperados u ocultos
  • Cómo evadir la detección tanto de la interfaz de usuario de Windows como de herramientas de análisis de terceros

Al combinar esto con técnicas de relleno de espacios en blanco, los adversarios ocultan eficazmente la verdadera intención del acceso directo, lo que aumenta las posibilidades de una ejecución exitosa sin alertar a los usuarios ni a las herramientas de seguridad.

Cadena de infección: archivos ZIP, señuelos y carga lateral de DLL

Los nueve archivos LNK maliciosos identificados se distribuyeron en archivos ZIP, cada uno de los cuales contenía otro archivo ZIP que incluía:

  • Un documento PDF señuelo
  • Un ejecutable legítimo renombrado
  • Una DLL maliciosa transferida lateralmente por el binario

Esta DLL, llamada ETDownloader, sirve como una carga útil de primera etapa diseñada para descargar el implante principal: XDigo.

XDigo: Un ladrón de datos refinado

XDigo es un implante de malware basado en Go, considerado una evolución de UsrRunVGA.exe, documentado previamente en octubre de 2023. Está equipado para:

  • Cosechar archivos locales.
  • Capturar el contenido del portapapeles.
  • Tomar capturas de pantalla.
  • Ejecutar comandos o binarios obtenidos de un servidor remoto a través de HTTP GET.
  • Exfiltrar datos robados mediante solicitudes HTTP POST.

Esta funcionalidad confirma el papel de XDigo como un ladrón orientado al espionaje, diseñado para la recopilación sigilosa de información.

Perfil del objetivo y consistencia táctica

Los investigadores han confirmado al menos un objetivo en la región de Minsk, con indicios adicionales que apuntan a operaciones contra grupos minoristas, instituciones financieras, compañías de seguros y servicios postales gubernamentales rusos. Esta victimización coincide estrechamente con el enfoque histórico de XDSpy, especialmente en Europa del Este y Bielorrusia.

Técnicas de evasión y sofisticación táctica

XDSpy ha demostrado una gran capacidad para evadir las defensas modernas. Cabe destacar que su malware fue el primero en intentar evadir una solución sandbox específica, lo que refleja un alto grado de personalización y adaptabilidad ante la evolución de los entornos de seguridad.

Resumen: Conclusiones clave

La campaña XDigo presenta una sofisticada combinación de técnicas y estrategias de ataque. Implicó la explotación de una vulnerabilidad de Windows identificada como ZDI-CAN-25373 mediante archivos LNK especialmente diseñados, junto con la manipulación de inconsistencias en el análisis de LNK para ocultar la actividad maliciosa. Los atacantes también recurrieron a la carga lateral de DLL mediante el uso de ejecutables legítimos renombrados para cargar componentes fraudulentos. La comunicación con la infraestructura de comando y control y la exfiltración de datos robados se realizaron mediante protocolos HTTP estándar, lo que permitió el sigilo y la evasión.

En cuanto a la focalización, la campaña se centró principalmente en entidades gubernamentales, especialmente en Bielorrusia y Rusia. También amplió su alcance a los sectores financiero y minorista, así como a grandes compañías de seguros y servicios postales nacionales. Esta operación subraya la innovación constante de los actores de amenazas alineados con los Estados y refuerza la necesidad crucial de examinar incluso tipos de archivos aparentemente inofensivos, como los archivos LNK, en busca de amenazas ocultas.

Tendencias

Mas Visto

Cargando...