Skitnet: el malware post-explotación favorito de las bandas de ransomware

Durante 2025, investigadores de ciberseguridad han detectado un aumento en el uso de Skitnet, también conocido como Bossnet, un malware avanzado utilizado por bandas de ransomware para ejecutar actividades post-explotación en redes comprometidas. Este software malicioso está ganando popularidad por su eficacia, bajo costo y capacidades evasivas.

El malware fue identificado por primera vez en foros clandestinos como RAMP en abril de 2024, pero no fue hasta principios de 2025 cuando comenzó a tener una adopción significativa entre actores de amenazas. Según el equipo de Prodaft, varias operaciones de ransomware ya están utilizando activamente Skitnet, incluyendo grupos notorios como BlackBasta, que lo ha empleado en campañas de phishing a través de Microsoft Teams, y Cactus.

¿Cómo funciona Skitnet? Técnicas de infección y persistencia

Skitnet inicia su actividad con un loader programado en Rust, que se ejecuta en el sistema de la víctima y descifra un binario escrito en Nim cifrado con ChaCha20. Esta carga útil se mantiene en la memoria para evitar la detección por parte de soluciones antivirus tradicionales.

Una vez cargado, el binario Nim establece un shell inverso a través de DNS, lo que permite la comunicación con el servidor C2 (comando y control) sin levantar sospechas. Para ello, genera consultas DNS aleatorias como parte del proceso de conexión.

El malware ejecuta tres subprocesos principales:

• Envío periódico de consultas de latido DNS.
• Monitoreo de la salida del shell y su filtrado.
• Escucha activa de comandos cifrados recibidos desde el servidor C2.

Dependiendo de la configuración, Skitnet puede usar tanto protocolo DNS como HTTP para la transmisión de comandos, controlados desde un panel de administración C2 que muestra información sobre la víctima (dirección IP, ubicación geográfica, estado del sistema) y permite la ejecución remota de comandos.

Comandos principales de Skitnet

Skitnet ofrece un conjunto de funciones potentes que permiten a los operadores mantener el acceso y explotar al máximo los sistemas comprometidos. Algunos de sus comandos más destacados son:

• inicio: establece persistencia descargando varios archivos, incluyendo una DLL maliciosa, y aprovechando un ejecutable legítimo de Asus (ISP.exe) para realizar un secuestro de DLL y ejecutar un script de PowerShell (pas.ps1) para mantener la comunicación con el C2.
• pantalla: captura pantallas del escritorio de la víctima utilizando PowerShell, las sube a Imgur y envía la URL al servidor de control.
• anydesk: descarga e instala silenciosamente AnyDesk, una herramienta de acceso remoto legítima, ocultando todos los indicios visuales de su presencia.
• rutserv: instala RUT-Serv, otra herramienta de acceso remoto, de forma similar a AnyDesk.
• shell: permite la ejecución continua de comandos de PowerShell mediante un bucle que consulta el servidor cada 5 segundos y ejecuta las instrucciones usando Invoke-Expression.
• av: enumera las soluciones antivirus y de seguridad instaladas a través de consultas WMI, enviando los resultados al servidor C2.

Capacidades avanzadas con .NET y PowerShell

Además de los comandos estándar, Skitnet cuenta con una función avanzada que permite la ejecución de scripts de PowerShell directamente en memoria usando un cargador .NET independiente. Esto amplía significativamente la personalización y adaptabilidad de los ataques, permitiendo a los operadores realizar acciones más sofisticadas sin dejar rastros en el disco.

¿Por qué las bandas de ransomware eligen Skitnet?

Mientras que muchos grupos de ransomware desarrollan sus propias herramientas personalizadas para evitar la detección, este proceso suele requerir tiempo, inversión económica y desarrolladores especializados. En contraste, Skitnet representa una solución lista para usar, económica y eficaz, accesible incluso para grupos con menos recursos o experiencia técnica.

Además, su uso masivo dificulta la atribución de ataques, ya que múltiples actores pueden operar con el mismo malware, lo que complica los esfuerzos de análisis forense y respuesta a incidentes.

En el panorama actual del ransomware como servicio (RaaS), donde la rapidez de ejecución y la eficiencia son clave, Skitnet se posiciona como una herramienta extremadamente valiosa, adaptable tanto a ataques de alta sofisticación como a campañas masivas menos elaboradas.

Indicadores de compromiso (IoCs) disponibles

Para ayudar a los equipos de seguridad a detectar y mitigar ataques relacionados con Skitnet, Prodaft ha publicado una lista de Indicadores de Compromiso (IoCs) en su repositorio oficial de GitHub. Esta información es crucial para la detección temprana y la protección de infraestructuras vulnerables frente a esta amenaza emergente.

En conclusión, Skitnet es una amenaza en crecimiento que está redefiniendo el panorama de los ataques post-explotación en 2025. Su capacidad para evadir detección, establecer persistencia y ejecutar comandos avanzados lo convierte en una opción preferida por los grupos de ransomware. Estar al tanto de sus técnicas y herramientas asociadas es esencial para cualquier organización que desee fortalecer su postura de ciberseguridad frente a amenazas modernas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta