El actor de amenaza conocido como Caracal oscuro<\/strong> se ha atribuido a una campa\u00f1a que despleg\u00f3 un troyano de acceso remoto llamado Poco Rat en ataques dirigidos a objetivos de habla hispana en Am\u00e9rica Latina en 2024.<\/p>\n Los hallazgos provienen de la compa\u00f1\u00eda de ciberseguridad rusa Positive Technologies, que describi\u00f3 el malware cargado con un “conjunto completo de caracter\u00edsticas de espionaje”.<\/p>\n “Podr\u00eda cargar archivos, capturar capturas de pantalla, ejecutar comandos y manipular procesos del sistema”, los investigadores Denis Kazakov y Sergey Samokhin dicho<\/a> En un informe t\u00e9cnico publicado la semana pasada.<\/p>\n Poco RAT fue documentado previamente por Cofense en julio de 2024, detallando los ataques de phishing dirigidos a los sectores de miner\u00eda, fabricaci\u00f3n, hospitalidad y servicios p\u00fablicos. Las cadenas de infecci\u00f3n se caracterizan por el uso de se\u00f1uelos con tem\u00e1tica de finanzas que desencadenan un proceso de varios pasos para implementar el malware.<\/p>\n Si bien la campa\u00f1a no se atribuy\u00f3 a ninguna amenaza en ese momento, Positive Technologies dijo que identific\u00f3 las superposiciones de Tradecraft con Dark Caracal, una amenaza persistente avanzada (apt) conocida por operar familias de malware como CrossRat y Bandook. Est\u00e1 operativo desde al menos 2012.<\/p>\n En 2021, el Grupo Cyber \u200b\u200bMercenary estaba vinculado a una campa\u00f1a de ciber espionaje denominado Bandidos que entreg\u00f3 una versi\u00f3n actualizada del malware Bandook contra pa\u00edses de habla hispana en Am\u00e9rica del Sur.<\/p>\n El \u00faltimo conjunto de ataques contin\u00faa su enfoque en los usuarios de habla hispana, aprovechando los correos electr\u00f3nicos de phishing con temas relacionados con la factura que tienen archivos adjuntos maliciosos escritos en espa\u00f1ol como punto de partida. Un an\u00e1lisis de los artefactos de ratas POCO indica que las intrusiones se dirigen principalmente a empresas en Venezuela, Chile, la Rep\u00fablica Dominicana, Colombia y Ecuador.<\/p>\n Los documentos de se\u00f1uelo adjuntos se hacen pasar por una amplia gama de verticales de la industria, incluidas la banca, la fabricaci\u00f3n, la atenci\u00f3n m\u00e9dica, los productos farmac\u00e9uticos y la log\u00edstica, en un intento por prestar el esquema un poco m\u00e1s de creencia.<\/p>\n Cuando se abren, los archivos redirigen a las v\u00edctimas a un enlace que desencadena la descarga de un archivo .Rev de servicios leg\u00edtimos de intercambio de archivos o plataformas de almacenamiento en la nube como Google Drive y Dropbox.<\/p>\n “Los archivos con la extensi\u00f3n .Rev se generan usando Winrar y se dise\u00f1aron originalmente para reconstruir vol\u00famenes faltantes o corruptos en archivos de varias partes”, explicaron los investigadores. “Los actores de amenaza los reutilizan como contenedores de carga \u00fatil sigilosa, ayudando a malware a evadir la detecci\u00f3n de seguridad”.<\/p>\n Presente dentro del archivo hay un cuentagotas basado en Delphi que es responsable de lanzar POCO RAT, que, a su vez, establece contacto con un servidor remoto y otorga a los atacantes el control total sobre los hosts comprometidos. El malware obtiene su nombre del uso de bibliotecas POCO en su base de c\u00f3digo C ++.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Dark-Caracal-usa-Poco-Rat-para-apuntar-a-empresas-de.png\")
<\/a><\/center><\/div>\n