Varios actores de ransomware est\u00e1n utilizando un malware llamado Parket <\/b>Como parte de sus esfuerzos posteriores a la explotaci\u00f3n para robar datos confidenciales y establecer un control remoto sobre los hosts comprometidos.<\/p>\n
“Skitnet se ha vendido en foros subterr\u00e1neos como RAMP desde abril de 2024”, dijo la compa\u00f1\u00eda suiza de ciberseguridad Productaft a The Hacker News. “Sin embargo, desde principios de 2025, hemos observado m\u00faltiples operadores de ransomware que lo usan en ataques del mundo real”. <\/p>\n
“Por ejemplo, en abril de 2025, Black Basta aprovech\u00f3 la sketnet en campa\u00f1as de phishing con temas de equipos dirigidos a entornos empresariales. Con sus caracter\u00edsticas sigilosas y arquitectura flexible, Skitnet parece estar ganando tracci\u00f3n r\u00e1pidamente dentro del ecosistema de ransomware”.<\/p>\n
Parket<\/b>tambi\u00e9n llamado Bossnet<\/b>es un malware de varias etapas desarrollado por un actor de amenazas rastreado por la compa\u00f1\u00eda bajo el nombre de Larva-306. Un aspecto notable de la herramienta maliciosa es que utiliza lenguajes de programaci\u00f3n como Rust y NIM para lanzar una carcasa inversa sobre DNS y evadir la detecci\u00f3n.<\/p>\n
Tambi\u00e9n incorpora mecanismos de persistencia, herramientas de acceso remoto, comandos para la exfiltraci\u00f3n de datos e incluso descarga un binario de cargador .NET que se puede usar para servir cargas \u00fatiles adicionales, por lo que es una amenaza vers\u00e1til.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Las-pandillas-de-ransomware-usan-malware-de-sketchnet-para-robo.jpg\")
<\/a><\/center><\/div>\nPublicado por primera vez el 19 de abril de 2024, Skitnet se ofrece a los clientes potenciales como un “paquete compacto” que comprende un componente y malware del servidor. El ejecutable inicial es un binario de \u00f3xido que descifra y ejecuta una carga \u00fatil integrada que se compila en NIM.<\/p>\n
“La funci\u00f3n principal de este binario NIM es establecer una conexi\u00f3n de carcasa inversa con el C2 [command-and-control] servidor a trav\u00e9s de la resoluci\u00f3n DNS “, ProDaft dicho<\/a>. “Para evadir la detecci\u00f3n, emplea la funci\u00f3n GetProcaddress para resolver din\u00e1micamente las direcciones de la funci\u00f3n API en lugar de usar tablas de importaci\u00f3n tradicionales”.<\/p>\n El binario basado en NIM inicia adem\u00e1s m\u00faltiples hilos para enviar solicitudes DNS cada 10 segundos, leer respuestas DNS y extraer comandos para ejecutarse en el host y transmitir los resultados de la ejecuci\u00f3n del comando al servidor. Los comandos se emiten a trav\u00e9s de un panel C2 que se usa para administrar los hosts infectados.<\/p>\n Algunos de los comandos de PowerShell compatibles se enumeran a continuaci\u00f3n –<\/p>\n “Skitnet es un malware de varias etapas que aprovecha m\u00faltiples lenguajes de programaci\u00f3n y t\u00e9cnicas de cifrado”, dijo ProDaft. “Al usar el \u00f3xido para el descifrado de la carga \u00fatil y el mapeo manual, seguido de un shell inverso basado en NIM que se comunica sobre DNS, el malware intenta evadir las medidas de seguridad tradicionales”.<\/p>\n La divulgaci\u00f3n se produce cuando ZScaler Threatlabz \u200b\u200bdetall\u00f3 a otro cargador de malware denominado que se est\u00e1 utilizando para entregar una cepa de ransomware llamada Morpheus dirigida a un bufete de abogados estadounidense.<\/p>\n Activo desde al menos febrero de 2025, TransferLoader incorpora tres componentes, un descargador, una puerta trasera y un cargador especializado para la puerta trasera, lo que permite a los actores de amenaza ejecutar comandos arbitrarios en el sistema comprometido.<\/p>\n Si bien el descargador est\u00e1 dise\u00f1ado para obtener y ejecutar una carga \u00fatil desde un servidor C2 y ejecutar simult\u00e1neamente un archivo PDF Decoy, la puerta trasera es responsable de ejecutar comandos emitidos por el servidor, as\u00ed como actualizar su propia configuraci\u00f3n.<\/p>\n “La puerta trasera utiliza el sistema de archivos interplanetario descentralizado (IPFS<\/a>) Plataforma de igual a igual como un canal de retroceso para actualizar el servidor de comando y control (C2) “, la compa\u00f1\u00eda de seguridad cibern\u00e9tica dicho<\/a>. “Los desarrolladores de TransferLoader utilizan m\u00e9todos de ofuscaci\u00f3n para hacer que el proceso de ingenier\u00eda inversa sea m\u00e1s tedioso”.<\/p>\n\n
<\/a><\/center><\/div>\n