{"id":1638039,"date":"2025-03-25T15:41:12","date_gmt":"2025-03-25T15:41:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-200-dominios-c2-unicos-vinculados-al-corredor-de-acceso-raspberry-robin\/"},"modified":"2025-03-25T15:41:17","modified_gmt":"2025-03-25T15:41:17","slug":"los-investigadores-descubren-200-dominios-c2-unicos-vinculados-al-corredor-de-acceso-raspberry-robin","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-200-dominios-c2-unicos-vinculados-al-corredor-de-acceso-raspberry-robin\/","title":{"rendered":"Los investigadores descubren ~ 200 dominios C2 \u00fanicos vinculados al corredor de acceso Raspberry Robin"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Inteligencia de amenazas \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-investigadores-descubren-200-dominios-C2-unicos-vinculados-al.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Una nueva investigaci\u00f3n ha descubierto casi 200 dominios \u00fanicos de comando y control (C2) asociados con un malware llamado <b>Raspberry Robin<\/b>.<\/p>\n<p>&#8220;Raspberry Robin (tambi\u00e9n conocido como Roshtyak o Storm-0856) es un actor de amenaza complejo y en evoluci\u00f3n que brinda servicios de corredor de acceso inicial (IAB) a numerosos grupos criminales, muchos de los cuales tienen conexiones con Rusia&#8221;, Silent Push Push <a rel=\"noopener nofollow\" href=\"https:\/\/www.silentpush.com\/blog\/raspberry-robin\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<p>Ya que es <a rel=\"noopener nofollow\" href=\"https:\/\/decoded.avast.io\/janvojtesek\/raspberry-robins-roshtyak-a-little-lesson-in-trickery\/\" target=\"_blank\">aparici\u00f3n<\/a> en 2019, el <a rel=\"noopener nofollow\" href=\"https:\/\/www.darktrace.com\/blog\/the-early-bird-catches-the-worm-darktraces-hunt-for-raspberry-robin\" target=\"_blank\">malware<\/a> se ha convertido en un conducto para varias cepas maliciosas como Socgholish, Didex, Lockbit, IceDid, Bumblebee y TrueBot. Tambi\u00e9n se conoce como un gusano QNAP debido al uso de dispositivos QNAP comprometidos para recuperar la carga \u00fatil.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>A lo largo de los a\u00f1os, las cadenas de ataque de Raspberry Robin han agregado un nuevo m\u00e9todo de distribuci\u00f3n que implica descargarlo a trav\u00e9s de archivos y archivos de scripts de Windows enviados como archivos adjuntos utilizando el servicio de mensajer\u00eda Discord, sin mencionar la adquisici\u00f3n de exploits de un d\u00eda para lograr una escalada de privilegios locales antes de que se revelen p\u00fablicamente.<\/p>\n<p>Tambi\u00e9n hay alguna evidencia que sugiere que el malware se ofrece a otros actores como una botnet de pago por instalaci\u00f3n (PPI) para entregar malware en la pr\u00f3xima etapa.<\/p>\n<p>Adem\u00e1s, las infecciones por robin de Raspberry han incorporado un mecanismo de propagaci\u00f3n basado en USB que implica el uso de una unidad USB comprometida que contiene un archivo de acceso directo de Windows (LNK) disfrazado de carpeta para activar la implementaci\u00f3n del malware.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742917271_163_Los-investigadores-descubren-200-dominios-C2-unicos-vinculados-al.png\" style=\"display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742917271_163_Los-investigadores-descubren-200-dominios-C2-unicos-vinculados-al.png\" alt=\"\" border=\"0\" data-original-height=\"257\" data-original-width=\"614\"\/><\/a><\/div>\n<p>Desde entonces, el gobierno de los Estados Unidos ha revelado que el actor de amenaza de estado-estado ruso rastre\u00f3 como Cadet Blizzard puede haber usado Raspberry Robin como facilitador de acceso inicial.<\/p>\n<p>Silent Push, en su \u00faltimo an\u00e1lisis realizado junto con Team Cymru, encontr\u00f3 una direcci\u00f3n IP que se estaba utilizando como un rel\u00e9 de datos para conectar todos los dispositivos QNAP comprometidos, lo que finalmente llev\u00f3 al descubrimiento de m\u00e1s de 180 dominios C2 \u00fanicos.<\/p>\n<p>&#8220;La direcci\u00f3n IP singular se conect\u00f3 a trav\u00e9s de Rel\u00e9s TOR, que probablemente es c\u00f3mo los operadores de red emitieron nuevos comandos e interactuaron con dispositivos comprometidos&#8221;, dijo la compa\u00f1\u00eda. &#8220;La IP utilizada para este rel\u00e9 se bas\u00f3 en un pa\u00eds de la UE&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una investigaci\u00f3n m\u00e1s profunda de la infraestructura ha revelado que los dominios Raspberry Robin C2 son cortos &#8211; por ejemplo, Q2[.]Rs, M0[.]WF, H0[.]WF y 2i[.]PM, y que se giran r\u00e1pidamente entre los dispositivos comprometidos y a trav\u00e9s de IPS utilizando un <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/fast-flux-101\/\" target=\"_blank\">t\u00e9cnica<\/a> llamado <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/resources\/cyberglossary\/fast-flux-networks\" target=\"_blank\">flujo r\u00e1pido<\/a> en un esfuerzo por hacer que sea dif\u00edcil derribarlos.<\/p>\n<p>Algunos de los dominios de nivel superior de Raspberry Robin (TLDS) son .wf, .pm, .re, .nz, .eu, .Gy, .tw y .cx, con dominios registrados utilizando registros de nicho como Sarek Oy, 1api GmbH, Netim, Epag, Epag, Epag,[.]DE, Centralnic Ltd, y Open Srs. La mayor\u00eda de los dominios C2 identificados tienen servidores de nombres en una compa\u00f1\u00eda b\u00falgara llamada CloudNS.<\/p>\n<p>&#8220;El uso de Raspberry Robin por parte de los actores de amenaza del gobierno ruso se alinean con su historia de trabajar con innumerables actores de amenaza serias, muchos de los cuales tienen conexiones con Rusia&#8221;, dijo la compa\u00f1\u00eda. &#8220;Estos incluyen Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang y Lace Tempest (TA505)&#8221;. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/researchers-uncover-200-unique-c2.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de marzo de 2025\ue804Ravie LakshmananInteligencia de amenazas \/ malware Una nueva investigaci\u00f3n ha descubierto casi 200 dominios<\/p>\n","protected":false},"author":1,"featured_media":1638040,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,4661,4664,16056,6073,16684,12583,273784,36,273783,4654,273782,4659,4653,4655,42500,5339,246983,4665,246984,17404,39262,455,239484],"class_list":["post-1638039","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-corredor","tag-descubren","tag-dominios","tag-investigadores","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-raspberry","tag-robin","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-unicos","tag-vinculados","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1638039","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1638039"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1638039\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1638040"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1638039"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1638039"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1638039"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}