Malware Starland RAT: Amenaza en instaladores de Zoom y Webex

Contenido del artículo
En el cambiante panorama de la ciberseguridad corporativa, los actores de amenazas continúan perfeccionando sus metodologías tácticas para infiltrarse en las redes empresariales con fines de espionaje y beneficio económico. Recientemente, una investigación profunda de la división de inteligencia de amenazas Cisco Talos expuso una sofisticada campaña cibernética, activa desde al menos junio de 2025, orquestada por un grupo de habla rusa identificado como UAT-11795. El objetivo principal de esta operación es la distribución de software legítimo modificado para desplegar de manera encubierta el malware Starland RAT, un troyano de acceso remoto altamente evasivo programado en Python, diseñado para la recolección masiva de credenciales y el vaciado de billeteras de criptomonedas.
Esta campaña destaca por su modelo de distribución basado en volumen y oportunismo, dirigiendo sus ataques contra desarrolladores de software, personal administrativo y profesionales de TI en los Estados Unidos y Europa. Al utilizar instaladores de herramientas profesionales de uso diario, el adversario logra evadir las defensas tradicionales al apoyarse en la confianza inherente del usuario hacia sus herramientas de trabajo cotidianas.
La Cadena de Infección: Desde “ClickFix” hasta la Ejecución del HTA
El vector de acceso inicial empleado por UAT-11795 se basa en técnicas avanzadas de ingeniería social, específicamente el método conocido como “ClickFix”. Este vector engaña a los usuarios mediante alertas falsas en el navegador web que alegan errores de renderizado de fuentes, problemas de actualización o incompatibilidades con el sistema operativo.
Para solucionar el supuesto problema, el sitio web malicioso proporciona instrucciones explícitas para copiar y ejecutar un comando de PowerShell directamente en la consola del sistema. Al realizar esta acción, el usuario inicia involuntariamente el flujo de infección de la siguiente manera:
- Ejecución de mshta.exe: El comando copiado invoca el binario legítimo de Windows
mshta.exepara descargar y ejecutar de manera silenciosa un archivo de aplicación HTML (HTA) alojado en la infraestructura del atacante. - Despliegue del script VBScript: El archivo HTA contiene un script en VBScript altamente ofuscado que extrae y ejecuta un archivo por lotes (batch) de Windows.
- Establecimiento de persistencia inicial: El mismo script de VBScript realiza modificaciones en el Registro de Windows, creando un valor bajo la clave
HKCU\Software\Microsoft\Windows\CurrentVersion\Rundenominado “MyApp”. Esto asegura que el HTA malicioso se vuelva a ejecutar de forma remota en cada inicio de sesión del usuario. - Notificación por Telegram: Tras la ejecución exitosa de esta fase, el script envía una notificación en tiempo real a través de una API HTTP a un bot de Telegram controlado por el atacante, confirmando la huella digital preliminar de la víctima.
Una vez completada esta fase, el archivo por lotes procede a descargar y ejecutar el instalador troyanizado que completará la infección del endpoint.
El Caballo de Troya: Instaladores NSIS Modificados
Para no levantar sospechas en los entornos corporativos donde las herramientas de videoconferencia y administración de sistemas son habituales, UAT-11795 empaqueta sus cargas útiles dentro de instaladores legítimos creados con el sistema NSIS (Nullsoft Scriptable Install System). Las aplicaciones suplantadas de forma recurrente en esta campaña incluyen:
- Cisco Webex y Zoom: Plataformas líderes de colaboración empresarial y videoconferencia.
- MobaXterm: Cliente de terminal avanzado para SSH, X11, RDP y administración de redes, muy común entre ingenieros de sistemas.
- DBeaver Community Edition: Cliente SQL y herramienta de administración de bases de datos utilizada ampliamente por desarrolladores.
- FACEIT: Plataforma de emparejamiento para videojuegos competitivos, empleada para apuntar a perfiles de usuarios más jóvenes con carteras de activos digitales.
Carga en Memoria Ofuscada mediante Python
El instalador NSIS modificado extrae silenciosamente un intérprete de Python legítimo y portátil (pythonw.exe) junto con un cargador malicioso compilado que se disfraza bajo el nombre inofensivo de LICENSE.txt. Cuando el instalador se ejecuta, invoca de manera invisible el entorno de Python contra este archivo de licencia falso.
El código dentro de LICENSE.txt contiene una rutina de descifrado XOR que emplea la clave constante 0xC6. Tras aplicar esta operación matemática, el cargador revela la carga útil del malware Starland RAT. Utilizando la librería nativa de Python ctypes, el cargador resuelve dinámicamente las llamadas a la API de Windows de bajo nivel (como VirtualAllocEx, WriteProcessMemory y CreateRemoteThread). Esto permite realizar técnicas de inyección de procesos directamente en la memoria del sistema operativo, evitando la creación de archivos ejecutables sospechosos en el disco y esquivando los sistemas de detección estática basados en firmas.
Arquitectura y Capacidades de Evasión del malware Starland RAT
Una vez inyectado y activo en el espacio de memoria de un proceso legítimo, el malware Starland RAT inicia un protocolo riguroso de reconocimiento y evasión de análisis. Su diseño modular le permite actuar como un centro de control flexible en la máquina de la víctima, priorizando la obtención de información y el robo de credenciales.
Evasión de Sandboxes y Antianálisis
Para evitar ser detectado por analistas de malware y sistemas automatizados de detección, el troyano ejecuta validaciones exhaustivas del entorno de ejecución. Verifica activamente nombres de host, nombres de usuario y rutas de archivos que coincidan con entornos virtuales comunes de análisis de malware. El malware Starland RAT se detiene de forma inmediata si detecta la presencia de:
- Nombres de usuario por defecto asociados con el sistema de análisis Windows Defender Application Guard (como
WDAGUtilityAccount). - Cadenas o firmas asociadas con entornos de análisis dinámico públicos como Cuckoo Sandbox o Any.Run.
- Estructuras de depuradores interactivos y llamadas de tiempo de ejecución anormales en sistemas Windows.
Reconocimiento Técnico del Endpoint y Active Directory
Si las comprobaciones de entorno determinan que la máquina pertenece a una víctima real, la RAT inicia una fase de reconocimiento profundo empleando comandos integrados del sistema y consultas WMI (Windows Management Instrumentation) a través de comandos como Get-CimInstance. Los datos recopilados incluyen la memoria RAM instalada, especificaciones del procesador, software antivirus activo, dirección IP pública y el identificador de hardware único (HWID) del dispositivo.
Además, en entornos corporativos, el malware busca identificar la estructura de la red de dominios utilizando comandos especializados como nltest /dclist. Esto le permite recolectar de manera silenciosa información detallada sobre los controladores de dominio de Active Directory y los privilegios asignados a la cuenta comprometida, abriendo el camino para un posterior movimiento lateral dentro de la organización.
El Botín Financiero: Robo de Criptomonedas
La motivación de UAT-11795 es indiscutiblemente monetaria. Starland RAT incorpora un potente motor de escaneo diseñado para detectar y exfiltrar información financiera. El malware busca de manera sistemática datos de navegación, cookies, contraseñas almacenadas en navegadores Chromium y Firefox, y de forma crítica, analiza el sistema en busca de más de 40 billeteras de criptomonedas de escritorio y extensiones de navegador. Una vez ubicados los almacenes de claves privadas o archivos de respaldo de carteras, estos son empaquetados, cifrados y transmitidos al servidor de comando y control.
WLDR Agent: El Implante PowerShell Silencioso en Memoria
Como parte de la misma campaña, UAT-11795 utiliza un segundo implante propietario denominado WLDR Agent. Este componente actúa como un backdoor de respaldo y se caracteriza por operar completamente en memoria para evadir las soluciones de detección y respuesta de endpoints (EDR).
El WLDR Agent se basa en un diseño modular de PowerShell y cuenta con técnicas sofisticadas para neutralizar los controles de seguridad del sistema operativo:
- Bypasses de AMSI y ETW: Para evitar ser detectado por la Interfaz de Monitoreo de Antimalware (AMSI) y el Seguimiento de Eventos para Windows (ETW), el implante aplica parches en tiempo de ejecución (runtime patching) sobre las funciones nativas de la API de Windows en memoria. Esto impide que el sistema operativo registre la actividad sospechosa de los scripts de PowerShell ejecutados.
- Cifrado Robusto de Comunicaciones: El tráfico saliente de WLDR Agent hacia su servidor C2 se cifra empleando algoritmos estándar de grado militar: AES-256 en modo CBC combinados con firmas de autenticidad HMAC-SHA256.
- Motor de Runspace Independiente: El implante utiliza un motor de ejecución de Runspace de PowerShell personalizado. Al no depender del proceso tradicional
powershell.exepara ejecutar sus tareas, el malware elude de manera efectiva las reglas de monitoreo de creación de procesos y bloqueos automáticos implementados en los firewalls y EDR modernos. - Intervalos de Beaconing y Cola de Tareas: El implante realiza un contacto constante (“beaconing”) con su servidor cada 10 segundos para consultar una cola de tareas persistente. A través de este canal, los operadores del ataque pueden inyectar dinámicamente nuevos scripts o payloads adicionales en el espacio de memoria activa de la máquina comprometida.
Resiliencia de Infraestructura: Blockchain Polygon y Canales Secundarios
Uno de los aspectos más notables de la campaña de UAT-11795 es su enfoque en mantener la persistencia y disponibilidad de su infraestructura de comando y control (C2). El troyano Starland RAT implementa un innovador mecanismo de redundancia basado en tecnologías de cadena de bloques.
Si la máquina de la víctima recibe una respuesta HTTP con código 403 al intentar comunicarse con los dominios C2 codificados de fábrica —lo cual suele indicar que el dominio ha sido bloqueado o tomado por los equipos de seguridad—, el malware ejecuta su protocolo de respaldo. El software realiza de manera automatizada una consulta HTTP dirigida a un contrato inteligente activo desplegado en la red de cadena de bloques Polygon.
A través de esta consulta en la Web3, la RAT recupera el registro de un nuevo dominio de comando y control cifrado. Debido a la naturaleza descentralizada e inmutable de la blockchain de Polygon, los defensores de la red corporativa y los proveedores de alojamiento de internet no pueden dar de baja el contrato inteligente, garantizando que el malware mantenga la capacidad de reconfigurar sus comunicaciones remotas y permanecer bajo el control de los atacantes, sin importar cuántos dominios web convencionales sean bloqueados.
Cargas Útiles Secundarias: CastleStealer y Remcos RAT
El rol del malware Starland RAT va más allá de la recolección inicial de credenciales; también funciona como una plataforma de distribución modular en el endpoint. Según el análisis de la telemetría de Cisco Talos, si el malware evalúa que el entorno cumple con los requerimientos necesarios para un despliegue extendido, puede inyectar cadenas de shellcode personalizadas para instalar payloads secundarios dependiendo de la arquitectura de la máquina afectada:
- Sistemas de 64 bits (CastleStealer): Starland RAT inyecta una cadena de shellcode que descarga y ejecuta en memoria a CastleStealer, un potente infostealer basado en .NET. Este software roba contraseñas, tokens de sesión de aplicaciones como Discord y Telegram, y billeteras de criptomonedas adicionales. Como detalle particular de su origen, CastleStealer incorpora una comprobación de idioma de teclado y configuración regional; si detecta configuraciones regionales vinculadas a Rusia o países de la CEI, interrumpe su ejecución de inmediato (regla de exclusión rusa).
- Sistemas de 32 bits (Remcos RAT): En entornos compatibles con arquitectura de 32 bits, la RAT secundaria inyectada es Remcos RAT, una herramienta comercial de administración remota legítima ampliamente abusada por actores de amenazas para vigilancia constante, captura de audio y video, y ejecución de comandos remotos en tiempo real.
Estrategias de Mitigación y Defensas Recomendadas
Para hacer frente a la sofisticación técnica demostrada por UAT-11795 y sus herramientas integradas de inyección, las organizaciones deben migrar de enfoques puramente reactivos hacia posturas proactivas de seguridad. Entre las recomendaciones y defensas fundamentales para contrarrestar esta amenaza se encuentran:
- Restricción estricta de mshta.exe: Debido a que el ataque se basa inicialmente en el uso de la utilidad nativa de Windows
mshta.exea través de comandos PowerShell fraudulentos, se recomienda bloquear o restringir fuertemente su ejecución mediante políticas de control de aplicaciones como AppLocker o Windows Defender Application Control (WDAC). - Monitoreo de copiado y pegado en navegadores: Implementar soluciones de seguridad que alerten sobre la ejecución de comandos del sistema complejos (como scripts ofuscados de PowerShell) que se ejecuten inmediatamente después de que un usuario interactúe con solicitudes de navegación web externas (mitigación del patrón ClickFix).
- Centralización del canal de instalación de software: Limitar los privilegios locales de los usuarios en los endpoints corporativos para evitar la instalación libre de ejecutables descargados de internet. Todo software empresarial como Zoom, DBeaver o Cisco Webex debe ser distribuido exclusivamente a través de canales de despliegue interno auditados y firmas digitales verificadas.
- Inspección y monitoreo de blockchain y criptografía: Configurar reglas en los cortafuegos perimetrales y puertas de enlace web para auditar o restringir llamadas salientes inusuales hacia nodos RPC públicos de redes de criptomonedas (como endpoints de Polygon o Ethereum) que no correspondan con necesidades comerciales operativas, neutralizando el mecanismo de recuperación del C2 secundario.
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


