Ransomware Trigona: Nueva herramienta uploader_client para exfiltración

En el dinámico ecosistema del cibercrimen, la evolución tecnológica no es una opción, sino una necesidad de supervivencia. El **Ransomware Trigona**, una operación de Ransomware-as-a-Service (RaaS) que ha demostrado una resiliencia asombrosa desde su aparición en 2022, ha dado un paso audaz hacia la sofisticación técnica. Reportes recientes de firmas de ciberseguridad como Symantec y Carbon Black han identificado un cambio fundamental en su arsenal: el abandono de herramientas de transferencia de archivos comerciales en favor de un binario propietario denominado “uploader_client.exe”.

Este movimiento no es meramente cosmético. Representa una transición de “operadores oportunistas” a “desarrolladores de grado militar”. Tradicionalmente, los afiliados de ransomware utilizaban utilidades legítimas como Rclone o MegaSync para la exfiltración de datos. Sin embargo, la creciente capacidad de los sistemas de Detección y Respuesta en los Puntos Finales (EDR) para identificar el uso malicioso de estas herramientas ha forzado al **Ransomware Trigona** a invertir en su propia infraestructura de robo de información, garantizando un perfil mucho más bajo durante la fase más crítica de un ataque: el robo de la propiedad intelectual.

La anatomía de uploader_client.exe: Ingeniería para el sigilo

El descubrimiento de esta herramienta en marzo de 2026 marca un hito en la madurez operativa del grupo conocido por algunos investigadores como Rhantus. A diferencia de las herramientas generalistas, uploader_client.exe ha sido diseñado con un único propósito: extraer la mayor cantidad de datos sensibles en el menor tiempo posible, evitando activar las alarmas de tráfico anómalo.

Flujos paralelos y saturación de banda ancha

Una de las características técnicas más destacadas de esta utilidad es su capacidad de procesamiento paralelo. Por defecto, el ejecutable inicia cinco flujos de datos simultáneos por archivo. Esta técnica permite a los atacantes saturar el ancho de banda disponible de la víctima, reduciendo drásticamente la ventana de tiempo en la que un equipo de respuesta a incidentes (IR) podría intervenir.

En términos prácticos, mientras que una herramienta convencional podría tardar horas en extraer un terabyte de información, la arquitectura multifilo de Trigona permite comprimir este tiempo, logrando que el robo de datos termine antes de que los analistas de seguridad reciban la primera alerta de exfiltración masiva. Es una carrera de velocidad donde el atacante ahora tiene un motor diseñado a medida.

Rotación de conexiones TCP: Eludiendo el monitoreo de red

Quizás la característica más ingeniosa de uploader_client.exe es su mecanismo de evasión de tráfico de red. El software está programado para rotar automáticamente su conexión TCP cada vez que se transfieren 2,048 MB (2 GB) de datos. Este comportamiento está diseñado específicamente para engañar a los sistemas de monitoreo de red y firewalls de próxima generación (NGFW).

Muchos sistemas de detección de anomalías están configurados para generar alertas cuando detectan una conexión de larga duración que transfiere un volumen masivo de datos hacia una única IP externa. Al fragmentar la transferencia en múltiples sesiones TCP de corta duración, el **Ransomware Trigona** logra que su actividad se confunda con el tráfico legítimo de la empresa, como actualizaciones de software o servicios de respaldo en la nube, haciendo que la detección basada en firmas de flujo sea prácticamente imposible.

Estrategia de selección de datos: Calidad sobre cantidad

El robo de datos ya no se trata de llevarse todo el disco duro; se trata de llevarse lo que duele. El nuevo cliente de Trigona incorpora una bandera de comando específica: --exclude-ext. Esta funcionalidad permite a los afiliados excluir de manera granular archivos de bajo valor que solo servirían para ralentizar la operación y ocupar espacio innecesario en los servidores de los atacantes.

• Exclusión de archivos multimedia: Los atacantes suelen omitir extensiones como .mp3, .mp4, .avi o .mkv, que consumen gran ancho de banda pero carecen de valor extorsivo.
• Priorización de documentos críticos: El enfoque se centra exclusivamente en archivos de alta prioridad como facturas (.pdf), hojas de cálculo financieras (.xlsx), bases de datos y documentos legales (.docx).
• Autenticación integrada: El uploader utiliza una clave de autenticación compartida para comunicarse con el servidor C2 (Comando y Control). Esto garantiza que solo los clientes autorizados puedan subir datos, protegiendo el repositorio de información robada contra accesos no autorizados por parte de investigadores o agencias de la ley.

El modus operandi de Trigona en 2026: Más allá del cifrado

La implementación de esta herramienta personalizada es solo el paso final de una cadena de ataque meticulosa. Antes de que uploader_client.exe entre en acción, el **Ransomware Trigona** realiza una labor de “limpieza” del entorno de seguridad de la víctima que demuestra un conocimiento profundo de la administración de sistemas.

Inhabilitación de defensas mediante BYOVD

Los investigadores han observado que Trigona utiliza técnicas de “Bring Your Own Vulnerable Driver” (BYOVD). Los atacantes despliegan herramientas legítimas, pero vulnerables, como el controlador de kernel de HRSword (parte de la suite de seguridad Huorong). Al cargar estos controladores legítimos en el sistema de la víctima, pueden abusar de sus privilegios de kernel para terminar procesos de EDR y antivirus que, de otro modo, serían imposibles de detener.

Además, utilizan una suite de herramientas de diagnóstico y terminación de procesos que incluye:

• PCHunter y Gmer: Utilizados para identificar y matar ganchos (hooks) de seguridad en el kernel.
• YDark y WKTools: Herramientas avanzadas para la manipulación del sistema a bajo nivel.
• PowerRun: Una utilidad de freeware que permite ejecutar comandos con privilegios de SYSTEM, superando incluso las restricciones de un administrador local estándar.

Movimiento lateral y persistencia

El acceso inicial suele lograrse mediante la explotación de vulnerabilidades en servicios expuestos o ataques de fuerza bruta en RDP. Una vez dentro, los afiliados despliegan AnyDesk para mantener un acceso remoto persistente y herramientas de recuperación de contraseñas de Nirsoft junto con el omnipresente Mimikatz para recolectar credenciales de navegadores y aplicaciones, facilitando el movimiento lateral por toda la red corporativa.

El modelo de “Doble Extorsión” y el impacto en las empresas

El uso de una herramienta de exfiltración tan avanzada refuerza el compromiso del **Ransomware Trigona** con el modelo de doble extorsión. Para estos grupos, el cifrado de los archivos con la extensión ._locked es solo la mitad del negocio. La verdadera palanca de negociación reside en la amenaza de filtrar datos confidenciales en su sitio de filtraciones (leak site).

A pesar de que el grupo sufrió un golpe significativo en octubre de 2023 cuando hacktivistas ucranianos comprometieron su infraestructura, Trigona ha logrado reconstruir su plataforma. El pago de los rescates se sigue exigiendo en Monero (XMR), una criptomoneda centrada en la privacidad que dificulta enormemente el rastreo financiero por parte de las autoridades, a diferencia del Bitcoin.

Este nivel de inversión en malware propietario indica que el RaaS ya no es solo una cuestión de distribuir un código de cifrado; es una carrera armamentista donde los desarrolladores de ransomware están operando como verdaderas casas de software, con ciclos de actualización, soporte técnico para afiliados y optimización de rendimiento.

Recomendaciones de mitigación frente a Trigona

La aparición de uploader_client.exe cambia las reglas del juego para los defensores. Ya no basta con bloquear ejecutables conocidos como Rclone. Las organizaciones deben adoptar un enfoque de seguridad basado en el comportamiento:

1. Análisis de comportamiento de red: Configurar alertas para detectar rotaciones frecuentes de conexiones TCP hacia IPs externas no categorizadas, incluso si el volumen total parece fragmentado.
2. Restricción de controladores: Implementar políticas de control de integridad de código (como WDAC en Windows) para evitar la carga de controladores vulnerables conocidos (estrategia anti-BYOVD).
3. Monitoreo de procesos privilegiados: Vigilar el uso de herramientas como PowerRun o cualquier intento de ejecución de comandos con privilegios de SYSTEM que se origine desde procesos de usuario.
4. Segmentación de datos sensibles: Si los atacantes usan banderas para buscar archivos específicos, una arquitectura de datos “Zero Trust” donde el acceso a documentos financieros esté estrictamente limitado puede mitigar el impacto de la exfiltración.

Conclusión: El futuro de la exfiltración propietaria

El caso del **Ransomware Trigona** y su herramienta “uploader_client.exe” es un recordatorio de que los atacantes son analistas de mercado que estudian nuestras defensas. Al observar que las herramientas comunes estaban siendo bloqueadas, decidieron construir la suya propia, optimizada para la velocidad, el sigilo y la eficacia. Esta tendencia de malware de exfiltración a medida es probable que se extienda a otros grupos de RaaS de alto nivel, marcando el fin de la era de las herramientas “off-the-shelf” y el inicio de una era de ciberataques mucho más personalizados y difíciles de detectar.