El actor de amenaza vinculado a Rusia conocido como Gamared\u00f3n<\/strong> (tambi\u00e9n conocido como Shuckworm) se ha atribuido a un ataque cibern\u00e9tico dirigido a una misi\u00f3n militar extranjera con sede en Ucrania con el objetivo de ofrecer una versi\u00f3n actualizada de un malware conocido llamado Gammteatel.<\/p>\n El grupo apunt\u00f3 a la misi\u00f3n militar de un pa\u00eds occidental, seg\u00fan el equipo de cazadores de amenazas de Symantec, con los primeros signos de la actividad maliciosa detectada el 26 de febrero de 2025.<\/p>\n “El vector de infecci\u00f3n inicial utilizado por los atacantes parece haber sido un impulso removible infectado”, la divisi\u00f3n de inteligencia de amenazas propiedad de Broadcom dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n El ataque comenz\u00f3 con la creaci\u00f3n de un valor de registro de Windows bajo la tecla UserAssist, seguido por el lanzamiento de “mshta.exe” utilizando “explorer.exe” para iniciar una cadena de infecci\u00f3n en varias etapas y iniciar dos archivos.<\/p>\n El primer archivo, llamado “ntuser.dat.tmcontainer0000000000000000000001.Rregtrans-MS”, se utiliza para establecer comunicaciones con un servidor de comando y control (C2) que se obtiene al llegar a URL espec\u00edficas asociadas con servicios leg\u00edtimos como teletipo, telegrama y tel\u00e9grafo, entre otros.<\/p>\n El segundo archivo en cuesti\u00f3n, “ntuser.dat.tmcontainer0000000000000000000002.regtrans-ms”, est\u00e1 dise\u00f1ado para infectar cualquier unidades y unidades de red extra\u00edble mediante la creaci\u00f3n de archivos de acceso directo para cada carpeta para ejecutar el comando malicioso “mshta.exe” y ocultarlo.<\/p>\n Posteriormente, el 1 de marzo de 2025, el script se ejecut\u00f3 para contactar a un servidor C2, exfiltrate System Metadatos y recibir, a cambio, una carga \u00fatil codificada de Base64, que luego se utiliza para ejecutar un comando PowerShell dise\u00f1ado para descargar una nueva versi\u00f3n ofuscada del mismo script.<\/p>\n El script, por su parte, se conecta a un servidor C2 codificado para obtener dos scripts m\u00e1s de PowerShell, el primero de los cuales es una utilidad de reconocimiento capaz de capturar capturas de pantalla, ejecutar el comando SystemInfo, obtener detalles del software de seguridad en ejecuci\u00f3n en el host, archivos enumerados y carpetas en el escritorio, y listar la ejecuci\u00f3n de procesos.<\/p>\n El segundo script de PowerShell es una versi\u00f3n mejorada de Gammteelel, un robador de informaci\u00f3n conocido que es capaz de exfiltrar archivos de una v\u00edctima basada en una lista de permiso de extensi\u00f3n desde el escritorio y las carpetas de documentos.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Gamaredon-utiliza-unidades-removibles-infectadas-para-violar-la-mision-militar.jpg\")
<\/a><\/center><\/div>\n