Underc0de

La comunidad de ciberseguridad ha identificado a un nuevo y sofisticado actor de amenazas conocido como Water Curse, que emplea repositorios maliciosos de GitHub como plataforma de distribución de malware de múltiples etapas. Este grupo se destaca por su capacidad técnica, su enfoque en el robo de credenciales y su capacidad para mantener la persistencia en los sistemas comprometidos.

Según un informe publicado por Trend Micro, Water Curse ha montado una campaña activa y sostenida, en la que cargas útiles maliciosas están ocultas en herramientas de pruebas de penetración aparentemente legítimas. Estas cargas se camuflan en archivos de configuración de proyectos de Visual Studio, y entregan malware como SMTP Email Bomber y Sakura-RAT.

GitHub como vector para ataques a la cadena de suministro

Uno de los aspectos más preocupantes de esta campaña es el abuso de repositorios públicos de GitHub para alojar código malicioso, disfrazado como herramientas para desarrolladores. Este enfoque representa una amenaza directa para la cadena de suministro de software, ya que las víctimas potenciales tienden a confiar en plataformas reconocidas como GitHub para descargar utilidades.

Los investigadores han detectado hasta 76 cuentas de GitHub vinculadas directamente con esta operación, lo que sugiere una estrategia bien organizada y de gran escala. Además, se ha determinado que la campaña podría haber estado activa desde marzo de 2023, utilizando múltiples lenguajes de programación y una amplia gama de herramientas ofensivas.

Técnicas avanzadas: ofuscación, persistencia y evasión

Scripts ofuscados y reconocimiento del sistema

Water Curse emplea complejas cadenas de infección por etapas, iniciadas por scripts altamente ofuscados en Visual Basic Script (VBS) y PowerShell. Estos scripts descargan archivos cifrados, extraen aplicaciones desarrolladas en Electron, y realizan un minucioso reconocimiento del sistema para maximizar el impacto del ataque.

Persistencia y debilitamiento de defensas

Además, los atacantes utilizan técnicas de evasión como:

• Antidepuración
• Escalada de privilegios
• Modificación de configuraciones del sistema
• Desactivación de herramientas de defensa mediante PowerShell

Estas técnicas permiten a Water Curse mantener la persistencia a largo plazo y dificultar significativamente la remediación por parte de los equipos de seguridad.

Motivación financiera y segmentación multivertical

Water Curse no es un actor motivado políticamente; su objetivo principal es la monetización del acceso ilícito. Esto incluye:

• Robo de credenciales
• Secuestro de sesiones
• Reventa de accesos comprometidos

Los repositorios vinculados a esta operación también incluyen trucos para videojuegos, bots de spam, herramientas OSINT, ladrones de wallets de criptomonedas y otros recursos con alto valor en el mercado negro, lo que refuerza su enfoque multivertical.

La infraestructura del grupo muestra un alto grado de automatización y escalabilidad, con exfiltración activa de datos a través de plataformas como Telegram y servicios públicos de intercambio de archivos.

ClickFix y la expansión del malware basado en infraestructura legítima

En paralelo a la operación de Water Curse, se han observado campañas que utilizan la táctica de ClickFix, desplegando familias de malware como AsyncRAT, DeerStealer, SectopRAT y LightPerlGirl mediante el cargador Hijack Loader.

Estos ataques aprovechan túneles temporales proporcionados por Cloudflare para entregar las cargas útiles desde dominios efímeros y no registrados. Esta técnica permite a los atacantes eludir defensas perimetrales al parecer tráfico legítimo dentro de flujos de trabajo de DevOps o mantenimiento de TI.

Sorillus RAT: ataques recientes contra Europa

En Europa, una campaña maliciosa ha tenido como objetivo a organizaciones en países como España, Portugal, Italia, Francia, Bélgica y los Países Bajos, utilizando correos electrónicos de phishing con señuelos de facturación que conducen a la instalación de Sorillus RAT, también conocido como Ratty RAT.

Este troyano de acceso remoto, basado en Java y multiplataforma, es capaz de:

• Exfiltrar datos sensibles
• Registrar pulsaciones de teclas
• Tomar capturas de pantalla y grabar audio
• Descargar y subir archivos
• Ejecutar comandos arbitrarios

La infección comienza con un archivo adjunto PDF que contiene un enlace de OneDrive. Al hacer clic en "Abrir el documento", la víctima es redirigida a un sistema de distribución de tráfico (TDS) que evalúa la solicitud y, si cumple con los criterios, entrega un archivo JAR malicioso.

Según Orange Cyberdefense, este ataque también ha distribuido el malware SambaSpy, que forma parte de la familia de Sorillus RAT, y utiliza servicios legítimos como MediaFire, Ngrok y LocaltoNet para eludir detecciones.

CEl nuevo rostro del malware en la era de la confianza digital

La campaña de Water Curse y otras operaciones similares revelan una tendencia preocupante en el mundo de la ciberseguridad: la explotación de plataformas legítimas como GitHub, Cloudflare y OneDrive para llevar a cabo ataques a gran escala.

Estas amenazas no solo desafían las capacidades de las herramientas tradicionales de defensa, sino que también requieren un cambio estratégico hacia la detección proactiva, el monitoreo de comportamiento y la verificación contextual de fuentes confiables. En este nuevo panorama, la confianza no puede asumirse: debe verificarse continuamente.

Fuente: https://thehackernews.com/