Los cazadores de amenazas est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a de phishing altamente dirigida que destac\u00f3 “menos de cinco” entidades en los Emiratos \u00c1rabes Unidos (EAU) para entregar una puerta trasera de Golang previamente indocumentada denominada Sosano.<\/p>\n
La actividad maliciosa se dirigi\u00f3 espec\u00edficamente contra las organizaciones de comunicaciones de aviaci\u00f3n y sat\u00e9lite, seg\u00fan Proofpoint, que la detect\u00f3 a fines de octubre de 2024. La empresa de seguridad empresarial est\u00e1 rastreando el cl\u00faster emergente bajo el apodo Unk_craftycamel<\/strong>.<\/p>\n Un aspecto notable de la cadena de ataque es el hecho de que el adversario aprovech\u00f3 su acceso a una cuenta de correo electr\u00f3nico comprometida que pertenece a la compa\u00f1\u00eda de electr\u00f3nica india Indic Electronics para enviar mensajes de phishing. Se dice que la entidad ten\u00eda una relaci\u00f3n comercial confiable con todos los objetivos, con los se\u00f1uelos adaptados a cada uno de ellos.<\/p>\n “Unk_craftycamel aprovech\u00f3 una compa\u00f1\u00eda de electr\u00f3nica india comprometida para apuntar a menos de cinco organizaciones en los Emiratos \u00c1rabes Unidos con un archivo zip malicioso que aprovech\u00f3 m\u00faltiples archivos de Polyglot para eventualmente instalar un Sosano de Backdoor personalizado”, dijo Proofpoint en un informe<\/a> compartido con las noticias del hacker.<\/p>\n Los correos electr\u00f3nicos conten\u00edan URL que apuntaban a un dominio falso disfrazados de la compa\u00f1\u00eda india (“Indicelectronics[.]net “), alojando un archivo zip que inclu\u00eda un archivo XLS y dos archivos PDF.<\/p>\n Pero en realidad, el archivo XLS era un atajo de Windows (LNK) usando una doble extensi\u00f3n para pasar como un documento de Microsoft Excel. Los dos archivos PDF, por otro lado, resultaron ser pol\u00edglots: uno que se agreg\u00f3 con un archivo de aplicaci\u00f3n HTML (HTA) y el otro con un archivo zip adjunto.<\/p>\n Esto tambi\u00e9n significaba que ambos archivos PDF podr\u00edan interpretarse como dos formatos v\u00e1lidos diferentes dependiendo de c\u00f3mo se analicen utilizando programas como exploradores de archivos, herramientas de l\u00ednea de comandos y navegadores.<\/p>\n La secuencia de ataque analizada por PruebePoint implica usar el archivo LNK para iniciar cmd.exe y luego usar mshta.exe para ejecutar el archivo PDF\/HTA Polyglot, lo que lleva a la ejecuci\u00f3n del script HTA que, a su vez, contiene instrucciones para desempaquetar el contenido del archivo ZIP presente dentro del segundo PDF.<\/p>\n Uno de los archivos en el segundo PDF es un archivo de acceso directo a Internet (URL) que es responsable de cargar un binario, que posteriormente busca un archivo de imagen que sea finalmente Xored<\/a> con la cadena “234567890ABCDEF” para decodificar y ejecutar la puerta trasera DLL llamada Sosano.<\/p>\n Escrito en Golang, el implante lleva una funcionalidad limitada para establecer el contacto con un servidor de comando y control (C2) y espera m\u00e1s comandos-<\/p>\n Proofpoint se\u00f1al\u00f3 que la artesan\u00eda demostrada por unk_craftycamel no se superpone con ning\u00fan otro actor o grupo de amenazas conocido.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-presuntos-piratas-informaticos-iranies-utilizaron-el-correo-electronico-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n