Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los investigadores descubren ~ 200 dominios C2 únicos vinculados al corredor de acceso Raspberry Robin
  • Tecnología

Los investigadores descubren ~ 200 dominios C2 únicos vinculados al corredor de acceso Raspberry Robin

teknomers 25 de Mart de 2025 (Last updated: 25 de Mart de 2025) 4 minutes read
Los investigadores descubren ~ 200 dominios C2 únicos vinculados al


25 de marzo de 2025Ravie LakshmananInteligencia de amenazas / malware

Una nueva investigación ha descubierto casi 200 dominios únicos de comando y control (C2) asociados con un malware llamado Raspberry Robin.

“Raspberry Robin (también conocido como Roshtyak o Storm-0856) es un actor de amenaza complejo y en evolución que brinda servicios de corredor de acceso inicial (IAB) a numerosos grupos criminales, muchos de los cuales tienen conexiones con Rusia”, Silent Push Push dicho En un informe compartido con The Hacker News.

Ya que es aparición en 2019, el malware se ha convertido en un conducto para varias cepas maliciosas como Socgholish, Didex, Lockbit, IceDid, Bumblebee y TrueBot. También se conoce como un gusano QNAP debido al uso de dispositivos QNAP comprometidos para recuperar la carga útil.

Ciberseguridad

A lo largo de los años, las cadenas de ataque de Raspberry Robin han agregado un nuevo método de distribución que implica descargarlo a través de archivos y archivos de scripts de Windows enviados como archivos adjuntos utilizando el servicio de mensajería Discord, sin mencionar la adquisición de exploits de un día para lograr una escalada de privilegios locales antes de que se revelen públicamente.

También hay alguna evidencia que sugiere que el malware se ofrece a otros actores como una botnet de pago por instalación (PPI) para entregar malware en la próxima etapa.

Además, las infecciones por robin de Raspberry han incorporado un mecanismo de propagación basado en USB que implica el uso de una unidad USB comprometida que contiene un archivo de acceso directo de Windows (LNK) disfrazado de carpeta para activar la implementación del malware.

Desde entonces, el gobierno de los Estados Unidos ha revelado que el actor de amenaza de estado-estado ruso rastreó como Cadet Blizzard puede haber usado Raspberry Robin como facilitador de acceso inicial.

Silent Push, en su último análisis realizado junto con Team Cymru, encontró una dirección IP que se estaba utilizando como un relé de datos para conectar todos los dispositivos QNAP comprometidos, lo que finalmente llevó al descubrimiento de más de 180 dominios C2 únicos.

“La dirección IP singular se conectó a través de Relés TOR, que probablemente es cómo los operadores de red emitieron nuevos comandos e interactuaron con dispositivos comprometidos”, dijo la compañía. “La IP utilizada para este relé se basó en un país de la UE”.

Ciberseguridad

Una investigación más profunda de la infraestructura ha revelado que los dominios Raspberry Robin C2 son cortos – por ejemplo, Q2[.]Rs, M0[.]WF, H0[.]WF y 2i[.]PM, y que se giran rápidamente entre los dispositivos comprometidos y a través de IPS utilizando un técnica llamado flujo rápido en un esfuerzo por hacer que sea difícil derribarlos.

Algunos de los dominios de nivel superior de Raspberry Robin (TLDS) son .wf, .pm, .re, .nz, .eu, .Gy, .tw y .cx, con dominios registrados utilizando registros de nicho como Sarek Oy, 1api GmbH, Netim, Epag, Epag, Epag,[.]DE, Centralnic Ltd, y Open Srs. La mayoría de los dominios C2 identificados tienen servidores de nombres en una compañía búlgara llamada CloudNS.

“El uso de Raspberry Robin por parte de los actores de amenaza del gobierno ruso se alinean con su historia de trabajar con innumerables actores de amenaza serias, muchos de los cuales tienen conexiones con Rusia”, dijo la compañía. “Estos incluyen Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang y Lace Tempest (TA505)”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Los residentes locales de los agricultores de ganado están perdiendo un caso de mal derecho en el Consejo de Estado
Next: Topper entre PSV y AJAX continúa, a pesar de la tuberculosis PSV Player

Related Stories

Claude: Anthropic descubre un espacio de trabajo interno
  • Tecnología

Claude: Anthropic descubre un espacio de trabajo interno

teknomers 7 de Temmuz de 2026
Menos de 21 100€ y una gran pantalla: Citroën lanza
  • Tecnología

Menos de 21 100€ y una gran pantalla: Citroën lanza la versión ideal de su ë-C3

teknomers 7 de Temmuz de 2026
Crypto: el memecoin de Donald Trump ha hecho perder 3,8
  • Tecnología

Crypto: el memecoin de Donald Trump ha hecho perder 3,8 mil millones de dólares a sus inversores

teknomers 7 de Temmuz de 2026

You May Have Missed

  • General

Arabia Saudita considera un gran nuevo plan, apunta a reiniciar la ruta petrolera post-guerra para eludir el volátil Hormuz

teknomers 7 de Temmuz de 2026
  • General

«Estamos abandonados»: en Venezuela, el balance del doble sismo asciende a al menos 3,535 muertos

teknomers 7 de Temmuz de 2026
« No tendría sentido continuar »: tras la eliminación, el
  • Deporte

« No tendría sentido continuar »: tras la eliminación, el seleccionador de Portugal, Roberto Martinez, dejará su puesto.

teknomers 7 de Temmuz de 2026
  • General

Inyección masiva de riqueza soberana del Golfo entra a India en 2026

teknomers 7 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.