>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-25-EasterBunny Anatomía de un artefacto de espionaje a1c3b23650a682f7b9fc0131d5125e4f.md
Última modificación: 25-10-2025
Etiquetas: #CCN-CERT25

EasterBunny: Anatomía de un artefacto de espionaje avanzado

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/roberto-amado

Contexto: Conferencia técnica sobre análisis de malware APT atribuido a actores rusos, probablemente desarrollado en 2017 pero aún efectivo en 2025.

Contexto general

La charla analiza Mr. Barley, un malware de Stage 3 diseñado para persistencia a largo plazo en redes comprometidas. Lo interesante es que este malware opera después de que los atacantes ya han entrado (Stage 2) y se centra en mantener el acceso de forma completamente sigilosa. El análisis revela técnicas de ofuscación por capas tipo "matrioska" y capacidades de carga dinámica de módulos que lo hacen extremadamente difícil de detectar.

Conceptos clave

  • Stage 3 malware: No es el que entra, sino el que mantiene la persistencia una vez comprometida la red
  • Estructura de matrioska: Múltiples capas de ofuscación anidadas para evadir detección
    • Capa externa adaptada específicamente a la máquina víctima (GUID de Windows, GUID de BIOS)
    • Núcleo interno ("el huevo") con la funcionalidad real
  • Dos capacidades principales:
    • Ejecutar comandos remotos (todos cifrados, incluso algo tan simple como ping)
    • Cargar módulos adicionales de forma dinámica (tipo plugins)
  • Módulos como DLLs: El malware puede recibir nuevas funcionalidades en tiempo real desde el C2
    • Cabeceras PE confirmadas en el análisis
    • Lista de módulos reportada periódicamente al command & control
  • Mimikatz modular: En lugar de cargar toda la herramienta (demasiado sospechoso), extraen solo el trozo necesario para robar credenciales
    • Objetivo: credenciales frescas para movimiento lateral
    • Técnica inteligente para reducir huella de detección

Desarrollo técnico

El análisis del artefacto permitió inferir cómo sería la interfaz del atacante. Básicamente tendría tres componentes: un generador del payload interno configurando dominio C2, credenciales de proxy y claves de cifrado; un builder que crea las capas externas personalizadas usando los GUIDs robados previamente con herramientas de Stage 2; y una plataforma de control centralizada para gestionar todos los implantes activos, mostrar información de sesiones (usuario, arquitectura, OS) y coordinar con otras plataformas de exfiltración de datos.

La comunicación con el C2 se hace de forma que parece tráfico JavaScript legítimo. Los dominios usados normalmente son infraestructura comprometida de terceros (no dominios comprados específicamente para la operación), lo que añade otra capa de dificultad para atribución y detección.

Herramientas mencionadas

  • Mimikatz → Herramienta para extracción de credenciales de Windows (usada en versión "troceada")
  • EDR/XDR → Soluciones de detección mencionadas como insuficientes por sí solas
  • Threat Hunting → Servicio necesario para detectar amenazas de este nivel

Conclusión

Lo que más me quedo es que las herramientas de seguridad tradicionales (EDR, antivirus) no son suficientes contra amenazas de este nivel. Un malware de 2017 todavía evade detección en 2025, y eso es preocupante. La conclusión del ponente es clara: se necesita threat hunting proactivo, no solo esperar a que salte una alerta.

El punto sobre IA es inquietante: si esto es de 2017, ¿qué están haciendo ahora con técnicas de IA en 2025? Básicamente, la brecha entre capacidades ofensivas y defensivas sigue creciendo.

Más

  • Informe público pendiente (disponible en "unos meses" según Q&A)
  • Hay un avance breve del informe con tips disponible
  • Profundizar: arquitectura de malware modular, técnicas de evasión de EDR, threat hunting methodologies

<< cd ..

>_