## Introducción El Centro de Investigación de Amenazas (TRC) de **Atos** identificó una sofisticada campaña maliciosa en marzo de 2026. Esta operación se dirige a cuentas profesionales con altos privilegios de administradores empresariales, ingenieros DevOps y analistas de seguridad, suplantando utilidades administrativas. Al integrar **envenenamiento de motores de búsqueda (SEO)**, una **arquitectura de distribución de GitHub de doble etapa** y **resolución de comando y control (C2) descentralizada basada en blockchain**, los actores de amenazas han establecido un mecanismo de entrega y persistencia altamente resiliente. ### Distribución Creativa a través de Fachadas de GitHub La campaña utiliza una cadena de entrega de múltiples capas diseñada para evadir la eliminación a nivel de plataforma y mantener un alto ranking en los motores de búsqueda. El ataque comienza con **envenenamiento SEO** en varios motores de búsqueda, incluyendo **Bing**, **Yahoo**, **DuckDuckGo** y **Yandex**. Esto asegura que los resultados maliciosos para términos de TI específicos se clasifiquen en la parte superior de los resultados de búsqueda. Los usuarios son dirigidos inicialmente a un **repositorio principal de GitHub "fachada"**. Estos repositorios están optimizados para SEO pero no contienen código malicioso, solo un archivo README de aspecto profesional. Para mantener la flexibilidad operativa, el README contiene un enlace que dirige a una víctima a un **segundo repositorio de GitHub oculto**. Este sirve como el verdadero punto de distribución del malware. Al separar la "vitrina" optimizada para SEO de la cuenta de entrega de la carga útil, los actores de amenazas pueden rotar rápidamente sus repositorios de distribución si son marcados, mientras que la fachada principal indexada por el motor de búsqueda permanece activa y sin tocar. ### Suplantación Estratégica de Herramientas y Perfilado de Víctimas La campaña se caracteriza por su enfoque en el **conjunto administrativo**. Al distribuir instaladores MSI maliciosos disfrazados como herramientas como **PsExec**, **AzCopy**, **Sysmon**, **LAPS** y **Kusto Explorer**, el adversario realiza un perfilado automatizado de víctimas. Estas utilidades son utilizadas casi exclusivamente por personal con permisos elevados de red y sistema. Una infección exitosa en la estación de trabajo de un administrador puede proporcionar las "llaves del reino", lo que puede facilitar el movimiento lateral dentro del entorno empresarial. ### Comando y Control Descentralizado vía Ethereum El aspecto técnicamente más significativo de la campaña es su implementación de **Resolución de "Dead Drop" Basada en Blockchain (DDR)**. Una vez que se ejecuta el MSI malicioso, el malware no se conecta a un dominio o dirección IP codificados, que podrían ser fácilmente bloqueados. En cambio, el malware inicia repetidamente una consulta a un **endpoint RPC público de Ethereum (ETH)**. El malware tiene codificada una **dirección específica de Smart Contract** en la blockchain de Ethereum. Al consultar este contrato, el malware recupera dinámicamente la dirección del servidor C2 activo. Esta técnica proporciona al adversario una extrema resiliencia: * **Agilidad de infraestructura:** El atacante puede rotar servidores C2 globalmente simplemente actualizando el valor almacenado en el contrato de la blockchain. * **Robustez:** Mientras los gateways públicos de Ethereum sean accesibles, el malware siempre podrá encontrar su "hogar", haciendo ineficaces los esfuerzos tradicionales de eliminación o bloqueo de dominios. ## Análisis de la Investigación Esta investigación proporciona un análisis técnico exhaustivo de la campaña actual, basado en observación a largo plazo y detonación activa dentro de un entorno controlado. Nuestra investigación va más allá de los vectores de entrega iniciales para examinar la sofisticada infraestructura y los comportamientos post-explotación. Los siguientes puntos de datos representan las mecánicas operativas centrales de la campaña, incluyendo: * **Distribución de Malware:** desglose de la arquitectura de repositorios de GitHub de doble etapa y el uso de envenenamiento SEO para manipular los resultados de los motores de búsqueda. * **Suplantación de Herramientas Administrativas:** un vistazo detallado a las utilidades administrativas específicas que se suplantan para garantizar el compromiso del personal de TI con altos privilegios. * **Lógica del Malware:** análisis del malware de las cargas útiles MSI maliciosas, incluyendo sus componentes iniciales de staging y persistencia. * **Infraestructura C2 Descentralizada:** investigación sobre el uso del malware de Smart Contracts de Ethereum y gateways RPC públicos para resolver dinámicamente las direcciones de Comando y Control (C2) activas. *NOTA: Durante la finalización de la investigación, identificamos una alerta preliminar de **KISA**&KrCERT/CC sobre la campaña de este actor de amenazas - [LINK](https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71998&menuNo=205020). Si bien su informe inicial proporcionó visibilidad temprana, nuestra investigación longitudinal confirma que la campaña sigue muy activa y ha experimentado una maduración técnica significativa.* *Nuestra investigación confirma además que el malware está evolucionando, con varias variantes distintas e infraestructura C2 adicional identificadas desde el inicio de la campaña.* > *Descubra la última inteligencia de amenazas y los insights de investigación de adversarios en [Blogs de Atos Cyber Shield.](https://atos.net/en/lp/cybershield)* ### Distribución de Malware La visualización a continuación demuestra la cadena de distribución de doble etapa, donde el repositorio fachada optimizado para SEO redirige a usuarios desprevenidos a una cuenta secundaria de GitHub que aloja el MSI malicioso. Esta arquitectura modular permite a los actores de amenazas preservar sus rankings en los motores de búsqueda, incluso si las cuentas individuales de entrega de carga útil son eliminadas.  El ciclo de vida de la intrusión comienza con una consulta de búsqueda a través de Bing (también Yahoo, DuckDuckGo, Yandex) para utilidades administrativas de TI especializadas. A través de un agresivo envenenamiento SEO, los actores de amenazas aseguran que el repositorio fachada de GitHub aparezca prominentemente entre los principales resultados de búsqueda. En este caso, un usuario que busca Kusto Explorer – una herramienta crítica para ingenieros y analistas que consultan Azure Data Explorer a través de KQL – es dirigido hacia una vitrina no maliciosa diseñada para generar confianza inicial. <table><tbody><tr><td></td></tr><tr><td>Búsqueda en Bing para “kusto explorer”</td></tr></tbody></table> <table><tbody><tr><td></td></tr><tr><td>Búsqueda en Bing para “kusto explorer download”</td></tr></tbody></table> El primer repositorio que el usuario abre es una vitrina que suplanta la herramienta administrativa objetivo. Este repo fachada está intencionalmente limpio de malware, actuando solo como una puerta de enlace a la segunda etapa maliciosa del proceso de entrega. Gracias a este diseño, mantiene un alto ranking en los motores de búsqueda. Primer repositorio de GitHub - utilizado solo como fachada <table><tbody><tr><td></td></tr></tbody></table>