<![CDATA[GETOVERX FORUM Community Support - Backdoors]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 10:21:24 +0000 MyBB <![CDATA[DarkGate (2023–2024)]]> https://forum.getoverx.com/showthread.php?tid=81 Sat, 29 Nov 2025 16:26:38 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=81 Nombre: DarkGate

Categoría: Loader + RAT con capacidades de cryptomining

Periodo de actividad: 2023–2024

Comportamiento (lo que hace y archivos que afecta):
- Malware multifunción que combina:
- Loader: Carga y ejecuta payloads adicionales (ransomware, stealers, otros RAT).
- RAT (Remote Access Trojan): Permite control remoto del equipo comprometido (ejecución de comandos, descarga/carga de archivos, persistencia).
- Mining capabilities: Usa recursos de CPU/GPU para minería de criptomonedas sin consentimiento del usuario.
- Suele llegar a través de:
- Campañas de phishing con adjuntos maliciosos (scripts, documentos con macros, archivos comprimidos).
- Descargas de software crackeado o instaladores falsos.
- Una vez activo:
- Puede modificar el sistema para facilitar el control remoto.
- Ejecuta payloads secundarios y, si está configurado, inicia procesos de minería en segundo plano.
- Archivos afectados:
- Scripts y binarios desplegados por el loader (DLL, EXE, scripts).
- No está orientado a cifrar datos como ransomware, sino a mantener control y exfiltrar/monetizar recursos.

Persistencia (comportamiento típico):
- Varía según la campaña, pero se han observado:
- Entradas en el Registro para inicio automático (Run/RunOnce).
- Tareas programadas que relanzan el loader o el RAT.
- Copias del ejecutable en rutas de usuario (AppData, Roaming, Temp) con nombres que imitan software legítimo.

Hash real de referencia (SHA-256):
Muestra pública asociada a DarkGate:
Code:
c5c29fa268dfb4b77f20f7a7b9a5cd88b8df0ed4a87dffd25ac7ce5b807aa8cf

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Detectar picos de CPU por cryptomining (EDR):
    - Activar en el EDR reglas de detección de:
    - Procesos que consumen CPU/GPU de forma sostenida sin justificación (especialmente en equipos que normalmente no realizan tareas pesadas).
    - Uso anómalo de recursos durante periodos de inactividad del usuario.
    - Configurar respuesta automática para:
    - Matar procesos sospechosos de minería.
    - Registrar detalle (proceso, ruta, usuario, consumo de CPU) en los logs unificados.

  • Cuarentena de loader scripts sospechosos (AV + HIPS):
    - Configurar el AV para escanear y poner en cuarentena:
    - Scripts descargados desde correo o web (VBS, JS, PS1, etc.) que ejecuten payloads adicionales.
    - En HIPS:
    - Restringir la ejecución de scripts desde rutas de usuario (Descargas, Temp) salvo apps firmadas y de confianza.
    - Analizar adjuntos y scripts dudosos en la Sandbox antes de permitir su ejecución en el entorno real.

  • Bloquear patrones de red de RAT (Firewall + EDR):
    - Monitorear conexiones salientes persistentes hacia:
    - Dominios/IPs no habituales.
    - Puertos/Protocolos característicos de C2 de RAT.
    - Crear reglas en el firewall de GetOverX Shield para:
    - Bloquear patrones de tráfico asociados a control remoto no autorizado.
    - Limitar conexiones salientes desde estaciones de trabajo a sólo destinos necesarios.
    - Registrar y alertar cuando un proceso desconocido mantenga conexiones de larga duración con hosts externos.

  • Medidas adicionales recomendadas:
    - Endurecer políticas de correo:
    - Filtrar adjuntos ejecutables y scripts.
    - Marcar correos externos con advertencias para el usuario.
    - Mantener el sistema y aplicaciones actualizadas para reducir vectores de ejecución de loaders.
    - Formar a usuarios para:
    - No abrir adjuntos inesperados.
    - Evitar cracks y software pirata, vector habitual para DarkGate y loaders similares.
]]> Nombre: DarkGate

Categoría: Loader + RAT con capacidades de cryptomining

Periodo de actividad: 2023–2024

Comportamiento (lo que hace y archivos que afecta):
- Malware multifunción que combina:
- Loader: Carga y ejecuta payloads adicionales (ransomware, stealers, otros RAT).
- RAT (Remote Access Trojan): Permite control remoto del equipo comprometido (ejecución de comandos, descarga/carga de archivos, persistencia).
- Mining capabilities: Usa recursos de CPU/GPU para minería de criptomonedas sin consentimiento del usuario.
- Suele llegar a través de:
- Campañas de phishing con adjuntos maliciosos (scripts, documentos con macros, archivos comprimidos).
- Descargas de software crackeado o instaladores falsos.
- Una vez activo:
- Puede modificar el sistema para facilitar el control remoto.
- Ejecuta payloads secundarios y, si está configurado, inicia procesos de minería en segundo plano.
- Archivos afectados:
- Scripts y binarios desplegados por el loader (DLL, EXE, scripts).
- No está orientado a cifrar datos como ransomware, sino a mantener control y exfiltrar/monetizar recursos.

Persistencia (comportamiento típico):
- Varía según la campaña, pero se han observado:
- Entradas en el Registro para inicio automático (Run/RunOnce).
- Tareas programadas que relanzan el loader o el RAT.
- Copias del ejecutable en rutas de usuario (AppData, Roaming, Temp) con nombres que imitan software legítimo.

Hash real de referencia (SHA-256):
Muestra pública asociada a DarkGate:
Code:
c5c29fa268dfb4b77f20f7a7b9a5cd88b8df0ed4a87dffd25ac7ce5b807aa8cf

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Detectar picos de CPU por cryptomining (EDR):
    - Activar en el EDR reglas de detección de:
    - Procesos que consumen CPU/GPU de forma sostenida sin justificación (especialmente en equipos que normalmente no realizan tareas pesadas).
    - Uso anómalo de recursos durante periodos de inactividad del usuario.
    - Configurar respuesta automática para:
    - Matar procesos sospechosos de minería.
    - Registrar detalle (proceso, ruta, usuario, consumo de CPU) en los logs unificados.

  • Cuarentena de loader scripts sospechosos (AV + HIPS):
    - Configurar el AV para escanear y poner en cuarentena:
    - Scripts descargados desde correo o web (VBS, JS, PS1, etc.) que ejecuten payloads adicionales.
    - En HIPS:
    - Restringir la ejecución de scripts desde rutas de usuario (Descargas, Temp) salvo apps firmadas y de confianza.
    - Analizar adjuntos y scripts dudosos en la Sandbox antes de permitir su ejecución en el entorno real.

  • Bloquear patrones de red de RAT (Firewall + EDR):
    - Monitorear conexiones salientes persistentes hacia:
    - Dominios/IPs no habituales.
    - Puertos/Protocolos característicos de C2 de RAT.
    - Crear reglas en el firewall de GetOverX Shield para:
    - Bloquear patrones de tráfico asociados a control remoto no autorizado.
    - Limitar conexiones salientes desde estaciones de trabajo a sólo destinos necesarios.
    - Registrar y alertar cuando un proceso desconocido mantenga conexiones de larga duración con hosts externos.

  • Medidas adicionales recomendadas:
    - Endurecer políticas de correo:
    - Filtrar adjuntos ejecutables y scripts.
    - Marcar correos externos con advertencias para el usuario.
    - Mantener el sistema y aplicaciones actualizadas para reducir vectores de ejecución de loaders.
    - Formar a usuarios para:
    - No abrir adjuntos inesperados.
    - Evitar cracks y software pirata, vector habitual para DarkGate y loaders similares.
]]> <![CDATA[Bifrose/Biscope (2020–2024)]]> https://forum.getoverx.com/showthread.php?tid=80 Sat, 29 Nov 2025 16:26:11 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=80 Nombre: Bifrose / Biscope

Categoría: RAT / Backdoor

Periodo de actividad: 2020–2024 (campañas recientes sobre una familia clásica de Bifrose/Bifrost)

Comportamiento (lo que hace y archivos que afecta):
- Malware tipo RAT (Remote Access Trojan) que permite al atacante controlar de forma remota el sistema infectado.
- RAT control:
- Ejecución remota de comandos.
- Gestión de archivos (subir, descargar, borrar, ejecutar).
- Posible captura de pantallas, enumeración de procesos y servicios.
- En algunos casos, registro de pulsaciones y robo de credenciales o información sensible.
- Process injection:
- Inyecta su código en procesos legítimos del sistema para:
- Esconder su presencia.
- Ejecutarse con los permisos del proceso objetivo.
- Evadir firmas simples basadas en nombre de proceso o ruta.
- Suele elegir procesos comunes (explorer.exe, svchost.exe, etc.) como “contenedor” de la inyección.
- Archivos afectados:
- No cifra ni destruye ficheros, pero:
- Utiliza directorios de usuario (AppData, Roaming, Temp) para almacenar sus binarios.
- Puede leer y exfiltrar documentos, configuraciones y credenciales según las órdenes del operador.

Persistencia (comportamiento típico):
- Copia del ejecutable en rutas como:
-
Code:
%AppData%
,
Code:
%LocalAppData%
o subcarpetas de usuario con nombres que imitan software legítimo.
- Añade mecanismos de arranque automático:
- Claves de Registro
Code:
Run
/
Code:
RunOnce
.
- Tareas programadas que relanzan el RAT.
- La combinación de persistencia + inyección en procesos le permite:
- Mantener una conexión RAT prolongada.
- Reaparecer tras reinicios aunque se cierre el proceso visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a Bifrose/Biscope:
Code:
c9d2661b8fdaa2bb31472bc2f0d4474376f4dd9e3be50dc7b0f1484f3f64579f

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Bloquear inyección de código:
    - HIPS block code injection:
    - Configurar reglas para impedir:
    - Llamadas a APIs típicas de inyección (por ejemplo, WriteProcessMemory, CreateRemoteThread, NtMapViewOfSection) desde procesos no confiables.
    - Inyección en procesos clave del sistema (explorer.exe, svchost.exe, lsass.exe, etc.).
    - Generar alertas cuando un ejecutable desconocido intente:
    - Inyectar código en otro proceso.
    - Manipular memoria de procesos que no le pertenecen.
    - Respuesta recomendada:
    - Bloquear la operación de inyección.
    - Matar el proceso origen de la inyección.
    - Registrar el evento en los logs unificados para análisis.

  • EDR – Detección de capacidades RAT y comportamiento remoto:
    - EDR detect remote control capabilities:
    - Monitorizar:
    - Procesos que mantienen conexiones de red persistentes hacia un mismo host C2.
    - Ejecuciones frecuentes de comandos del sistema, enumeración de procesos y acceso intensivo a archivos sin acción del usuario.
    - Actividad anómala (por ejemplo, operaciones de administración remota en horarios en los que el usuario no está activo).
    - Correlacionar:
    - Patrones de tráfico, acciones sobre el sistema y eventos de inyección para marcar el host como potencialmente comprometido.
    - Acciones:
    - Marcar el host para investigación de incidente.
    - Habilitar aislamiento de red si se confirma el comportamiento de RAT activo.

  • Firewall – Bloqueo de canales TCP inusuales:
    - Firewall block unusual TCP channels:
    - Restringir comunicaciones salientes:
    - Bloquear puertos y protocolos no utilizados habitualmente por la organización.
    - Permitir sólo destinos/aplicaciones definidos en una política de allowlist para equipos sensibles.
    - Detectar y bloquear:
    - Conexiones TCP persistentes hacia direcciones IP o dominios no habituales asociadas a C2.
    - Canales cifrados poco comunes saliendo desde estaciones de trabajo (no servidores) hacia Internet.
    - Generar alertas cuando:
    - Un proceso desconocido mantenga conexiones largas o frecuentes con hosts remotos.
    - Se observe uso de puertos o patrones de tráfico típicos de RAT.

  • Antivirus / Limpieza:
    - Ejecutar escaneos completos en sistemas sospechosos para:
    - Localizar el binario principal de Bifrose/Biscope.
    - Detectar módulos adicionales o droppers utilizados en la cadena de infección.
    - Eliminar o poner en cuarentena:
    - Ejecutables en AppData/Temp con nombres sospechosos.
    - Cualquier archivo coincidente con firmas AV o reglas YARA específicas para Bifrose.

  • Medidas adicionales recomendadas:
    - Auditar:
    - Claves de Registro de inicio automático (Run/RunOnce).
    - Tareas programadas nuevas o modificadas recientemente.
    - Cambiar credenciales:
    - Especialmente de cuentas usadas en el sistema comprometido (correo, VPN, paneles de administración).
    - Mantener el sistema y las aplicaciones actualizados, reduciendo la superficie de ataque para exploit-drops que instalen la RAT.

Notas opcionales:
- Bifrose/Biscope demuestra cómo RATs “clásicos” siguen activos en campañas recientes, apoyándose en técnicas de inyección de procesos y conexiones TCP discretas para evitar detecciones básicas.]]> Nombre: Bifrose / Biscope

Categoría: RAT / Backdoor

Periodo de actividad: 2020–2024 (campañas recientes sobre una familia clásica de Bifrose/Bifrost)

Comportamiento (lo que hace y archivos que afecta):
- Malware tipo RAT (Remote Access Trojan) que permite al atacante controlar de forma remota el sistema infectado.
- RAT control:
- Ejecución remota de comandos.
- Gestión de archivos (subir, descargar, borrar, ejecutar).
- Posible captura de pantallas, enumeración de procesos y servicios.
- En algunos casos, registro de pulsaciones y robo de credenciales o información sensible.
- Process injection:
- Inyecta su código en procesos legítimos del sistema para:
- Esconder su presencia.
- Ejecutarse con los permisos del proceso objetivo.
- Evadir firmas simples basadas en nombre de proceso o ruta.
- Suele elegir procesos comunes (explorer.exe, svchost.exe, etc.) como “contenedor” de la inyección.
- Archivos afectados:
- No cifra ni destruye ficheros, pero:
- Utiliza directorios de usuario (AppData, Roaming, Temp) para almacenar sus binarios.
- Puede leer y exfiltrar documentos, configuraciones y credenciales según las órdenes del operador.

Persistencia (comportamiento típico):
- Copia del ejecutable en rutas como:
-
Code:
%AppData%
,
Code:
%LocalAppData%
o subcarpetas de usuario con nombres que imitan software legítimo.
- Añade mecanismos de arranque automático:
- Claves de Registro
Code:
Run
/
Code:
RunOnce
.
- Tareas programadas que relanzan el RAT.
- La combinación de persistencia + inyección en procesos le permite:
- Mantener una conexión RAT prolongada.
- Reaparecer tras reinicios aunque se cierre el proceso visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a Bifrose/Biscope:
Code:
c9d2661b8fdaa2bb31472bc2f0d4474376f4dd9e3be50dc7b0f1484f3f64579f

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Bloquear inyección de código:
    - HIPS block code injection:
    - Configurar reglas para impedir:
    - Llamadas a APIs típicas de inyección (por ejemplo, WriteProcessMemory, CreateRemoteThread, NtMapViewOfSection) desde procesos no confiables.
    - Inyección en procesos clave del sistema (explorer.exe, svchost.exe, lsass.exe, etc.).
    - Generar alertas cuando un ejecutable desconocido intente:
    - Inyectar código en otro proceso.
    - Manipular memoria de procesos que no le pertenecen.
    - Respuesta recomendada:
    - Bloquear la operación de inyección.
    - Matar el proceso origen de la inyección.
    - Registrar el evento en los logs unificados para análisis.

  • EDR – Detección de capacidades RAT y comportamiento remoto:
    - EDR detect remote control capabilities:
    - Monitorizar:
    - Procesos que mantienen conexiones de red persistentes hacia un mismo host C2.
    - Ejecuciones frecuentes de comandos del sistema, enumeración de procesos y acceso intensivo a archivos sin acción del usuario.
    - Actividad anómala (por ejemplo, operaciones de administración remota en horarios en los que el usuario no está activo).
    - Correlacionar:
    - Patrones de tráfico, acciones sobre el sistema y eventos de inyección para marcar el host como potencialmente comprometido.
    - Acciones:
    - Marcar el host para investigación de incidente.
    - Habilitar aislamiento de red si se confirma el comportamiento de RAT activo.

  • Firewall – Bloqueo de canales TCP inusuales:
    - Firewall block unusual TCP channels:
    - Restringir comunicaciones salientes:
    - Bloquear puertos y protocolos no utilizados habitualmente por la organización.
    - Permitir sólo destinos/aplicaciones definidos en una política de allowlist para equipos sensibles.
    - Detectar y bloquear:
    - Conexiones TCP persistentes hacia direcciones IP o dominios no habituales asociadas a C2.
    - Canales cifrados poco comunes saliendo desde estaciones de trabajo (no servidores) hacia Internet.
    - Generar alertas cuando:
    - Un proceso desconocido mantenga conexiones largas o frecuentes con hosts remotos.
    - Se observe uso de puertos o patrones de tráfico típicos de RAT.

  • Antivirus / Limpieza:
    - Ejecutar escaneos completos en sistemas sospechosos para:
    - Localizar el binario principal de Bifrose/Biscope.
    - Detectar módulos adicionales o droppers utilizados en la cadena de infección.
    - Eliminar o poner en cuarentena:
    - Ejecutables en AppData/Temp con nombres sospechosos.
    - Cualquier archivo coincidente con firmas AV o reglas YARA específicas para Bifrose.

  • Medidas adicionales recomendadas:
    - Auditar:
    - Claves de Registro de inicio automático (Run/RunOnce).
    - Tareas programadas nuevas o modificadas recientemente.
    - Cambiar credenciales:
    - Especialmente de cuentas usadas en el sistema comprometido (correo, VPN, paneles de administración).
    - Mantener el sistema y las aplicaciones actualizados, reduciendo la superficie de ataque para exploit-drops que instalen la RAT.

Notas opcionales:
- Bifrose/Biscope demuestra cómo RATs “clásicos” siguen activos en campañas recientes, apoyándose en técnicas de inyección de procesos y conexiones TCP discretas para evitar detecciones básicas.]]> <![CDATA[SysJoker (2021)]]> https://forum.getoverx.com/showthread.php?tid=79 Sat, 29 Nov 2025 16:25:47 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=79 Nombre: SysJoker

Categoría: Backdoor sigiloso multi-plataforma (Windows / macOS / Linux)

Fecha de descubrimiento: 2021

Comportamiento (lo que hace y archivos que afecta):
- Multi-platform stealth backdoor:
- Diseñado para funcionar en Windows, macOS y Linux, adaptando rutas y mecanismos de persistencia según el sistema.
- Mantiene perfil bajo: archivos en rutas poco visibles, nombres que imitan componentes legítimos y uso de carpetas temporales o de usuario.
- Funciones típicas de backdoor:
- Recoge información básica del sistema (SO, procesos, IP, hostname, etc.).
- Contacta con un servidor de mando y control (C2) para recibir instrucciones.
- Puede descargar y ejecutar payloads adicionales, actualizarse o desinstalarse a petición del atacante.
- Archivos afectados:
- No cifra ni destruye datos; su objetivo es el acceso remoto sigiloso.
- Crea binarios y archivos de configuración en:
- Carpetas temporales o de usuario (por ejemplo, subdirectorios en Temp/AppData o equivalentes en macOS/Linux).
- Directorios usados para persistencia (LaunchAgents, cron, systemd, etc., según la plataforma).

Persistencia (comportamiento típico):
- Detect persistence in temporary folders:
- Crea directorios y ejecutables en:
- Rutas temporales o de usuario, a menudo con nombres genéricos o que simulan ser parte del sistema.
- Acompaña estos archivos con:
- Entradas de inicio automático (Run/RunOnce en Windows).
- Tareas programadas o servicios.
- LaunchAgents / cron / systemd en macOS y Linux.
- El uso de carpetas “no críticas” pero siempre presentes (Temp, AppData, etc.) le ayuda a:
- Evitar la atención del usuario.
- Sobrevivir a reinicios mientras mantiene un bajo perfil.

Hash real de referencia (SHA-256):
Muestra pública asociada a SysJoker:
Code:
7d5e6b44f9ca47a9aa175c931235b9a367364b5baffdd7bd5cc901ac7c1c38ef

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Detect persistence in temporary folders (EDR / HIPS):
    - Configurar el EDR para:
    - Vigilar creación de ejecutables y scripts en carpetas temporales y de perfil de usuario (Temp, AppData, Roaming, etc.).
    - Detectar nuevos elementos de inicio automático (Run/RunOnce, tareas programadas, LaunchAgents, cron jobs) que apunten a rutas temporales o de usuario.
    - Reglas recomendadas:
    - Marcar como sospechosos binarios que se auto-copian a carpetas temporales y se añaden al arranque.
    - Registrar y alertar cualquier cambio de persistencia ligado a rutas “no estándar”.
    - Respuesta:
    - Bloquear la creación/modificación de persistencia por procesos no confiables.
    - Matar el proceso responsable y registrar el evento en logs unificados.

  • Block C2 communication (Firewall + EDR):
    - En el firewall de GetOverX Shield:
    - Restringir conexiones salientes desde estaciones de trabajo a sólo puertos/destinos necesarios.
    - Bloquear dominios/IPs sospechosos o recién observados asociados a C2.
    - En el EDR:
    - Detectar procesos que:
    - Mantienen conexiones persistentes hacia hosts externos poco comunes.
    - Cambian de C2 dinámicamente (por ejemplo, usando URLs generadas o servicios de contenido).
    - Acciones:
    - Bloquear de inmediato las conexiones C2 identificadas.
    - Aislar el host si se confirma actividad de backdoor (permitiendo solo tráfico de gestión/forense).

  • AV detect SysJoker droppers (Antivirus + Sandbox):
    - Mantener el motor AV de GetOverX Shield actualizado con firmas para:
    - Binarios de SysJoker.
    - Droppers y scripts que lo instalan.
    - Escanear:
    - Directorios de usuario, Temp/AppData, y rutas de aplicaciones descargadas.
    - Repositorios donde se almacenen instaladores y paquetes (shares, servidores de archivos).
    - Integrar análisis en Sandbox:
    - Ejecutar adjuntos e instaladores sospechosos en la Sandbox antes de permitirlos en el entorno real.
    - Observar si:
    - Crean ejecutables en carpetas temporales.
    - Configuran persistencia.
    - Intentan comunicarse con C2.
    - Cuarentenar:
    - Droppers y payloads detectados por firmas AV o comportamiento sospechoso en Sandbox.

  • Medidas adicionales recomendadas:
    - Auditoría periódica de:
    - Tareas programadas, servicios y claves de arranque.
    - Nuevos ejecutables en rutas temporales y de perfil de usuario.
    - Refuerzo de políticas:
    - Limitar ejecución de binarios desde carpetas temporales cuando sea posible.
    - Separar cuentas de usuario y administrativas para reducir el impacto del backdoor.

Notas opcionales:
- SysJoker destaca por su enfoque multi-plataforma y su énfasis en el sigilo, por lo que la combinación de monitorización de persistencia, control de C2 y detección de droppers resulta clave para su identificación y bloqueo temprano.]]> Nombre: SysJoker

Categoría: Backdoor sigiloso multi-plataforma (Windows / macOS / Linux)

Fecha de descubrimiento: 2021

Comportamiento (lo que hace y archivos que afecta):
- Multi-platform stealth backdoor:
- Diseñado para funcionar en Windows, macOS y Linux, adaptando rutas y mecanismos de persistencia según el sistema.
- Mantiene perfil bajo: archivos en rutas poco visibles, nombres que imitan componentes legítimos y uso de carpetas temporales o de usuario.
- Funciones típicas de backdoor:
- Recoge información básica del sistema (SO, procesos, IP, hostname, etc.).
- Contacta con un servidor de mando y control (C2) para recibir instrucciones.
- Puede descargar y ejecutar payloads adicionales, actualizarse o desinstalarse a petición del atacante.
- Archivos afectados:
- No cifra ni destruye datos; su objetivo es el acceso remoto sigiloso.
- Crea binarios y archivos de configuración en:
- Carpetas temporales o de usuario (por ejemplo, subdirectorios en Temp/AppData o equivalentes en macOS/Linux).
- Directorios usados para persistencia (LaunchAgents, cron, systemd, etc., según la plataforma).

Persistencia (comportamiento típico):
- Detect persistence in temporary folders:
- Crea directorios y ejecutables en:
- Rutas temporales o de usuario, a menudo con nombres genéricos o que simulan ser parte del sistema.
- Acompaña estos archivos con:
- Entradas de inicio automático (Run/RunOnce en Windows).
- Tareas programadas o servicios.
- LaunchAgents / cron / systemd en macOS y Linux.
- El uso de carpetas “no críticas” pero siempre presentes (Temp, AppData, etc.) le ayuda a:
- Evitar la atención del usuario.
- Sobrevivir a reinicios mientras mantiene un bajo perfil.

Hash real de referencia (SHA-256):
Muestra pública asociada a SysJoker:
Code:
7d5e6b44f9ca47a9aa175c931235b9a367364b5baffdd7bd5cc901ac7c1c38ef

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Detect persistence in temporary folders (EDR / HIPS):
    - Configurar el EDR para:
    - Vigilar creación de ejecutables y scripts en carpetas temporales y de perfil de usuario (Temp, AppData, Roaming, etc.).
    - Detectar nuevos elementos de inicio automático (Run/RunOnce, tareas programadas, LaunchAgents, cron jobs) que apunten a rutas temporales o de usuario.
    - Reglas recomendadas:
    - Marcar como sospechosos binarios que se auto-copian a carpetas temporales y se añaden al arranque.
    - Registrar y alertar cualquier cambio de persistencia ligado a rutas “no estándar”.
    - Respuesta:
    - Bloquear la creación/modificación de persistencia por procesos no confiables.
    - Matar el proceso responsable y registrar el evento en logs unificados.

  • Block C2 communication (Firewall + EDR):
    - En el firewall de GetOverX Shield:
    - Restringir conexiones salientes desde estaciones de trabajo a sólo puertos/destinos necesarios.
    - Bloquear dominios/IPs sospechosos o recién observados asociados a C2.
    - En el EDR:
    - Detectar procesos que:
    - Mantienen conexiones persistentes hacia hosts externos poco comunes.
    - Cambian de C2 dinámicamente (por ejemplo, usando URLs generadas o servicios de contenido).
    - Acciones:
    - Bloquear de inmediato las conexiones C2 identificadas.
    - Aislar el host si se confirma actividad de backdoor (permitiendo solo tráfico de gestión/forense).

  • AV detect SysJoker droppers (Antivirus + Sandbox):
    - Mantener el motor AV de GetOverX Shield actualizado con firmas para:
    - Binarios de SysJoker.
    - Droppers y scripts que lo instalan.
    - Escanear:
    - Directorios de usuario, Temp/AppData, y rutas de aplicaciones descargadas.
    - Repositorios donde se almacenen instaladores y paquetes (shares, servidores de archivos).
    - Integrar análisis en Sandbox:
    - Ejecutar adjuntos e instaladores sospechosos en la Sandbox antes de permitirlos en el entorno real.
    - Observar si:
    - Crean ejecutables en carpetas temporales.
    - Configuran persistencia.
    - Intentan comunicarse con C2.
    - Cuarentenar:
    - Droppers y payloads detectados por firmas AV o comportamiento sospechoso en Sandbox.

  • Medidas adicionales recomendadas:
    - Auditoría periódica de:
    - Tareas programadas, servicios y claves de arranque.
    - Nuevos ejecutables en rutas temporales y de perfil de usuario.
    - Refuerzo de políticas:
    - Limitar ejecución de binarios desde carpetas temporales cuando sea posible.
    - Separar cuentas de usuario y administrativas para reducir el impacto del backdoor.

Notas opcionales:
- SysJoker destaca por su enfoque multi-plataforma y su énfasis en el sigilo, por lo que la combinación de monitorización de persistencia, control de C2 y detección de droppers resulta clave para su identificación y bloqueo temprano.]]> <![CDATA[BACKDOOR – Gh0st RAT]]> https://forum.getoverx.com/showthread.php?tid=48 Sat, 29 Nov 2025 15:55:10 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=48 Nombre: Gh0st RAT

Categoría: RAT / Backdoor

Descripción general:
Gh0st RAT es un troyano de acceso remoto (RAT) clásico utilizado en campañas de espionaje y control remoto encubierto. Permite al atacante tomar control casi completo del sistema infectado, incluyendo captura de teclado, pantalla y dispositivos como la webcam.

Comportamiento (lo que hace y archivos que afecta):
  • Control remoto:
    - Ejecución de comandos en el sistema comprometido.
    - Gestión de archivos (subir, descargar, borrar, ejecutar).
    - Enumeración de procesos, servicios y configuración del sistema.
  • Webcam stealth:
    - Activación silenciosa de la cámara web.
    - Captura de vídeo o imágenes sin notificación visible al usuario.
  • Keylogger:
    - Registro de pulsaciones de teclado para robar:
    - Usuarios y contraseñas.
    - Mensajes de chat/correo.
    - Cualquier texto introducido en formularios.
  • Otras capacidades típicas:
    - Captura de pantalla.
    - Posible grabación de audio desde el micrófono.
    - Actualización o descarga de módulos adicionales desde el C2.
- Archivos afectados:
- No cifra ni destruye datos, pero:
- Lee y exfiltra documentos y credenciales.
- Crea binarios y ficheros de configuración en rutas de usuario (AppData, Temp, etc.).

Persistencia (comportamiento típico):
  • Copia del ejecutable RAT en:
    -
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    o carpetas similares con nombres que imitan software legítimo.
  • Mecanismos de inicio automático:
    - Claves de Registro
    Code:
    Run
    /
    Code:
    RunOnce
    apuntando al binario del RAT.
    - Tareas programadas que relanzan el proceso tras reinicios.
  • En algunos casos, servicios registrados como si fueran componentes del sistema para obtener mayor persistencia y privilegios.

Hash real de referencia (SHA-256):
Muestra pública asociada a Gh0st RAT:
Code:
99774dad873b0e7f3e1cbcbf8c010dae3a2baac704d9cb2f56a3fa8b14757612

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Protección de webcam/teclado y bloqueo de inyección:
    - Restringir acceso a:
    - APIs de teclado (detección de keyloggers).
    - Dispositivos de vídeo (webcam) por parte de procesos no confiables.
    - Generar alertas cuando una aplicación desconocida intente:
    - Usar webcam/micrófono sin interacción del usuario.
    - Leer pulsaciones de teclado de forma continua.

  • EDR – Detección de control remoto:
    - Monitorizar:
    - Procesos que abren conexiones persistentes a un mismo host C2.
    - Ejecución masiva de comandos del sistema sin intervención del usuario.
    - Acceso intensivo a archivos, capturas de pantalla y dispositivos multimedia.
    - Configurar respuesta:
    - Marcar el host como sospechoso si se detecta patrón de RAT.
    - Permitir aislamiento de red del equipo afectado para cortar el control remoto.

  • Firewall – Bloqueo de C2:
    - Restringir conexiones salientes a:
    - Puertos y protocolos realmente usados por la organización.
    - Bloquear:
    - Canales TCP persistentes hacia dominios/IPs desconocidos asociados a RAT.
    - Registrar y alertar conexiones inusuales desde estaciones de trabajo hacia Internet que mantengan sesiones largas.

  • Antivirus / Limpieza:
    - Mantener firmas AV y reglas YARA actualizadas para:
    - Binarios de Gh0st RAT.
    - Droppers y empaquetadores relacionados.
    - Escanear:
    - Directorios de usuario (AppData/Roaming/Temp).
    - Carpetas donde se guardan adjuntos y descargas.
    - Poner en cuarentena:
    - Ejecutables que coincidan con firmas o patrones de Gh0st RAT.

  • Medidas adicionales recomendadas:
    - Auditar periódicamente:
    - Claves de Registro de inicio automático.
    - Tareas programadas nuevas o modificadas.
    - Forzar cambio de credenciales:
    - Cuentas usadas en equipos donde se detecte actividad de keylogging/espionaje.
    - Activar MFA en servicios críticos (correo, VPN, paneles de administración) para reducir impacto de credenciales robadas.
]]> Nombre: Gh0st RAT

Categoría: RAT / Backdoor

Descripción general:
Gh0st RAT es un troyano de acceso remoto (RAT) clásico utilizado en campañas de espionaje y control remoto encubierto. Permite al atacante tomar control casi completo del sistema infectado, incluyendo captura de teclado, pantalla y dispositivos como la webcam.

Comportamiento (lo que hace y archivos que afecta):
  • Control remoto:
    - Ejecución de comandos en el sistema comprometido.
    - Gestión de archivos (subir, descargar, borrar, ejecutar).
    - Enumeración de procesos, servicios y configuración del sistema.
  • Webcam stealth:
    - Activación silenciosa de la cámara web.
    - Captura de vídeo o imágenes sin notificación visible al usuario.
  • Keylogger:
    - Registro de pulsaciones de teclado para robar:
    - Usuarios y contraseñas.
    - Mensajes de chat/correo.
    - Cualquier texto introducido en formularios.
  • Otras capacidades típicas:
    - Captura de pantalla.
    - Posible grabación de audio desde el micrófono.
    - Actualización o descarga de módulos adicionales desde el C2.
- Archivos afectados:
- No cifra ni destruye datos, pero:
- Lee y exfiltra documentos y credenciales.
- Crea binarios y ficheros de configuración en rutas de usuario (AppData, Temp, etc.).

Persistencia (comportamiento típico):
  • Copia del ejecutable RAT en:
    -
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    o carpetas similares con nombres que imitan software legítimo.
  • Mecanismos de inicio automático:
    - Claves de Registro
    Code:
    Run
    /
    Code:
    RunOnce
    apuntando al binario del RAT.
    - Tareas programadas que relanzan el proceso tras reinicios.
  • En algunos casos, servicios registrados como si fueran componentes del sistema para obtener mayor persistencia y privilegios.

Hash real de referencia (SHA-256):
Muestra pública asociada a Gh0st RAT:
Code:
99774dad873b0e7f3e1cbcbf8c010dae3a2baac704d9cb2f56a3fa8b14757612

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Protección de webcam/teclado y bloqueo de inyección:
    - Restringir acceso a:
    - APIs de teclado (detección de keyloggers).
    - Dispositivos de vídeo (webcam) por parte de procesos no confiables.
    - Generar alertas cuando una aplicación desconocida intente:
    - Usar webcam/micrófono sin interacción del usuario.
    - Leer pulsaciones de teclado de forma continua.

  • EDR – Detección de control remoto:
    - Monitorizar:
    - Procesos que abren conexiones persistentes a un mismo host C2.
    - Ejecución masiva de comandos del sistema sin intervención del usuario.
    - Acceso intensivo a archivos, capturas de pantalla y dispositivos multimedia.
    - Configurar respuesta:
    - Marcar el host como sospechoso si se detecta patrón de RAT.
    - Permitir aislamiento de red del equipo afectado para cortar el control remoto.

  • Firewall – Bloqueo de C2:
    - Restringir conexiones salientes a:
    - Puertos y protocolos realmente usados por la organización.
    - Bloquear:
    - Canales TCP persistentes hacia dominios/IPs desconocidos asociados a RAT.
    - Registrar y alertar conexiones inusuales desde estaciones de trabajo hacia Internet que mantengan sesiones largas.

  • Antivirus / Limpieza:
    - Mantener firmas AV y reglas YARA actualizadas para:
    - Binarios de Gh0st RAT.
    - Droppers y empaquetadores relacionados.
    - Escanear:
    - Directorios de usuario (AppData/Roaming/Temp).
    - Carpetas donde se guardan adjuntos y descargas.
    - Poner en cuarentena:
    - Ejecutables que coincidan con firmas o patrones de Gh0st RAT.

  • Medidas adicionales recomendadas:
    - Auditar periódicamente:
    - Claves de Registro de inicio automático.
    - Tareas programadas nuevas o modificadas.
    - Forzar cambio de credenciales:
    - Cuentas usadas en equipos donde se detecte actividad de keylogging/espionaje.
    - Activar MFA en servicios críticos (correo, VPN, paneles de administración) para reducir impacto de credenciales robadas.
]]> <![CDATA[BACKDOOR – PlugX]]> https://forum.getoverx.com/showthread.php?tid=32 Sat, 29 Nov 2025 15:39:59 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=32 Nombre: PlugX / Korplug

Categoría: Backdoor

Usado por: APT10, APT41 (entre otros grupos APT de origen principalmente asiático)

Descripción general:
PlugX (también conocido como Korplug) es un backdoor avanzado utilizado en campañas de ciberespionaje dirigidas. Se distribuye normalmente a través de spear-phishing, explotación de vulnerabilidades en servicios expuestos y cadenas de infección con otros malware. Una vez instalado, ofrece control remoto casi completo del sistema comprometido y capacidades de exfiltración sigilosa de datos.

Comportamiento (lo que hace y archivos que afecta):
  • Control remoto completo:
    - Permite a los operadores:
    - Ejecutar comandos.
    - Gestionar archivos (subir, descargar, borrar, ejecutar).
    - Enumerar procesos, servicios y recursos de red.
    - Instalar módulos adicionales según la campaña.
  • Exfiltración sigilosa:
    - Roba documentos, credenciales y datos de interés de forma discreta.
    - Utiliza canales de comunicación cifrados o disfrazados para enviar la información al C2.
    - Puede limitar el volumen y la frecuencia de exfiltración para evitar levantar sospechas.
  • Abuso de DLL sideloading:
    - Se apoya en la técnica de DLL sideloading:
    - Coloca una DLL maliciosa junto a un ejecutable legítimo que carga esa DLL por nombre.
    - El ejecutable confiable (por ejemplo, firmado por un proveedor conocido) actúa como “contenedor” del backdoor.
    - Esto permite:
    - Elevar confianza (ya que el proceso visible es legítimo).
    - Evadir algunas detecciones basadas en reputación de binarios.
- Archivos afectados:
- Ejecutables legítimos usados como “host” para el sideloading.
- DLL maliciosas ubicadas en el mismo directorio que el ejecutable legítimo.
- Ficheros de configuración y logs internos de PlugX almacenados en rutas de usuario o sistema.

Persistencia (comportamiento típico):
  • Accesos directos, claves de Registro o tareas programadas que:
    - Lanzan el ejecutable legítimo que a su vez carga la DLL maliciosa.
  • Copias del conjunto “EXE legítimo + DLL maliciosa” en:
    - Directorios de programa o rutas de usuario con nombres que imitan software corporativo.
  • En algunos casos, servicios configurados para iniciar el binario legítimo portador de la DLL.

Hash real de referencia (SHA-256):
Muestra pública asociada a PlugX / Korplug:
Code:
9d97d93c71ec944f7ea27aeadb3c40c21569822fab9b593d869d651d4d77ecb4

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Bloqueo de DLL sideloading sospechoso:
    - Restringir:
    - Carga de DLL desde directorios de usuario o rutas no estándar cuando el ejecutable está firmado pero la DLL no.
    - Generar alertas cuando:
    - Un EXE legítimo cargue una DLL desconocida/no firmada desde el mismo directorio.
    - Opcional:
    - Crear reglas específicas para aplicaciones críticas, definiendo listas de DLL permitidas.

  • EDR – Detección de backdoor y exfiltración:
    - Monitorizar:
    - Procesos que:
    - Mantienen conexiones de red persistentes hacia IPs/Dominios poco habituales.
    - Ejecutan comandos del sistema y enumeran recursos de forma automatizada.
    - Acceso repetido a documentos sensibles seguido de tráfico de salida anómalo.
    - Configurar respuesta:
    - Marcar el host como bajo sospecha de backdoor.
    - Permitir aislamiento de red del equipo para cortar el C2.

  • Firewall – Bloqueo de comunicación C2:
    - Limitar:
    - Conexiones salientes desde estaciones y servidores a sólo destinos necesarios (modelo de allowlist).
    - Bloquear:
    - Dominios/IPs asociados a PlugX/Korplug conocidos por threat intel.
    - Canales cifrados no estándar originados desde procesos no aprobados.
    - Registrar:
    - Conexiones anómalas de largo tiempo de vida desde procesos que aparentan ser apps legítimas pero que no deberían comunicar a Internet.

  • Antivirus / Sandbox – Detección de loaders y paquetes PlugX:
    - Mantener firmas AV y reglas YARA orientadas a:
    - DLL maliciosas usadas por PlugX.
    - Plantillas típicas de ejecutables “host” empaquetados junto con la DLL.
    - Analizar en Sandbox:
    - Paquetes de instalación, ejecutables “legítimos” recién llegados (por ejemplo, de correo o USB) que traigan DLLs adjuntas.
    - Bloquear despliegue si:
    - El EXE legítimo carga DLLs adicionales no esperadas.
    - Se observa patrón de C2 y exfiltración durante el análisis.

  • Medidas adicionales recomendadas:
    - Auditoría periódica de:
    - Directorios de programas donde se encuentren pares “EXE legítimo + DLL desconocida”.
    - Tareas programadas y claves de inicio que lancen ejecutables fuera de rutas estándar.
    - Refuerzo de políticas:
    - Descarga e instalación de software únicamente desde repositorios/verificadores corporativos.
    - Revisión de herramientas utilizadas en soporte remoto o por terceros, ya que PlugX suele aparecer en campañas APT muy dirigidas.

Notas opcionales:
- El uso frecuente de PlugX por grupos APT como APT10 y APT41 lo convierte en indicador de posibles operaciones de espionaje avanzadas, por lo que su detección debe tratarse como incidente de alta criticidad.]]> Nombre: PlugX / Korplug

Categoría: Backdoor

Usado por: APT10, APT41 (entre otros grupos APT de origen principalmente asiático)

Descripción general:
PlugX (también conocido como Korplug) es un backdoor avanzado utilizado en campañas de ciberespionaje dirigidas. Se distribuye normalmente a través de spear-phishing, explotación de vulnerabilidades en servicios expuestos y cadenas de infección con otros malware. Una vez instalado, ofrece control remoto casi completo del sistema comprometido y capacidades de exfiltración sigilosa de datos.

Comportamiento (lo que hace y archivos que afecta):
  • Control remoto completo:
    - Permite a los operadores:
    - Ejecutar comandos.
    - Gestionar archivos (subir, descargar, borrar, ejecutar).
    - Enumerar procesos, servicios y recursos de red.
    - Instalar módulos adicionales según la campaña.
  • Exfiltración sigilosa:
    - Roba documentos, credenciales y datos de interés de forma discreta.
    - Utiliza canales de comunicación cifrados o disfrazados para enviar la información al C2.
    - Puede limitar el volumen y la frecuencia de exfiltración para evitar levantar sospechas.
  • Abuso de DLL sideloading:
    - Se apoya en la técnica de DLL sideloading:
    - Coloca una DLL maliciosa junto a un ejecutable legítimo que carga esa DLL por nombre.
    - El ejecutable confiable (por ejemplo, firmado por un proveedor conocido) actúa como “contenedor” del backdoor.
    - Esto permite:
    - Elevar confianza (ya que el proceso visible es legítimo).
    - Evadir algunas detecciones basadas en reputación de binarios.
- Archivos afectados:
- Ejecutables legítimos usados como “host” para el sideloading.
- DLL maliciosas ubicadas en el mismo directorio que el ejecutable legítimo.
- Ficheros de configuración y logs internos de PlugX almacenados en rutas de usuario o sistema.

Persistencia (comportamiento típico):
  • Accesos directos, claves de Registro o tareas programadas que:
    - Lanzan el ejecutable legítimo que a su vez carga la DLL maliciosa.
  • Copias del conjunto “EXE legítimo + DLL maliciosa” en:
    - Directorios de programa o rutas de usuario con nombres que imitan software corporativo.
  • En algunos casos, servicios configurados para iniciar el binario legítimo portador de la DLL.

Hash real de referencia (SHA-256):
Muestra pública asociada a PlugX / Korplug:
Code:
9d97d93c71ec944f7ea27aeadb3c40c21569822fab9b593d869d651d4d77ecb4

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Bloqueo de DLL sideloading sospechoso:
    - Restringir:
    - Carga de DLL desde directorios de usuario o rutas no estándar cuando el ejecutable está firmado pero la DLL no.
    - Generar alertas cuando:
    - Un EXE legítimo cargue una DLL desconocida/no firmada desde el mismo directorio.
    - Opcional:
    - Crear reglas específicas para aplicaciones críticas, definiendo listas de DLL permitidas.

  • EDR – Detección de backdoor y exfiltración:
    - Monitorizar:
    - Procesos que:
    - Mantienen conexiones de red persistentes hacia IPs/Dominios poco habituales.
    - Ejecutan comandos del sistema y enumeran recursos de forma automatizada.
    - Acceso repetido a documentos sensibles seguido de tráfico de salida anómalo.
    - Configurar respuesta:
    - Marcar el host como bajo sospecha de backdoor.
    - Permitir aislamiento de red del equipo para cortar el C2.

  • Firewall – Bloqueo de comunicación C2:
    - Limitar:
    - Conexiones salientes desde estaciones y servidores a sólo destinos necesarios (modelo de allowlist).
    - Bloquear:
    - Dominios/IPs asociados a PlugX/Korplug conocidos por threat intel.
    - Canales cifrados no estándar originados desde procesos no aprobados.
    - Registrar:
    - Conexiones anómalas de largo tiempo de vida desde procesos que aparentan ser apps legítimas pero que no deberían comunicar a Internet.

  • Antivirus / Sandbox – Detección de loaders y paquetes PlugX:
    - Mantener firmas AV y reglas YARA orientadas a:
    - DLL maliciosas usadas por PlugX.
    - Plantillas típicas de ejecutables “host” empaquetados junto con la DLL.
    - Analizar en Sandbox:
    - Paquetes de instalación, ejecutables “legítimos” recién llegados (por ejemplo, de correo o USB) que traigan DLLs adjuntas.
    - Bloquear despliegue si:
    - El EXE legítimo carga DLLs adicionales no esperadas.
    - Se observa patrón de C2 y exfiltración durante el análisis.

  • Medidas adicionales recomendadas:
    - Auditoría periódica de:
    - Directorios de programas donde se encuentren pares “EXE legítimo + DLL desconocida”.
    - Tareas programadas y claves de inicio que lancen ejecutables fuera de rutas estándar.
    - Refuerzo de políticas:
    - Descarga e instalación de software únicamente desde repositorios/verificadores corporativos.
    - Revisión de herramientas utilizadas en soporte remoto o por terceros, ya que PlugX suele aparecer en campañas APT muy dirigidas.

Notas opcionales:
- El uso frecuente de PlugX por grupos APT como APT10 y APT41 lo convierte en indicador de posibles operaciones de espionaje avanzadas, por lo que su detección debe tratarse como incidente de alta criticidad.]]>