Shadow Vector ataca a los usuarios de Columbia con notificaciones judiciales urgentes falsas

Otros idiomas disponibles: English (EU) Deutsch Français 日本語

Autores: Santiago Pontiroli, Jozsef Gegeny, Ilia Dafchev

Resumen

La Unidad de Investigación de Amenazas (TRU) de Acronis ha identificado una campaña de malware activa dirigida a usuarios de Colombia en la que se utilizan archivos maliciosos de gráficos vectoriales escalables (SVG) como vector de infección inicial.

Los atacantes distribuyeron correos electrónicos de phishing selectivo en los que suplantaban a instituciones de confianza en Colombia, que incluían señuelos SVG con enlaces incrustados a "stagers" (cargadores iniciales) de JS/VBS alojados en plataformas públicas, o archivos ZIP protegidos con contraseña que contenían directamente las cargas útiles.

Las cargas útiles incluían herramientas de acceso remoto (RAT) como AsyncRAT y RemcosRAT, que se distribuían mediante técnicas de carga lateral de bibiliotecas de vínculos dinámicos (DLL) y elevación de privilegios basada en controladores.

Las campañas recientes se basan en cargas útiles ofuscadas de múltiples etapas e incluyen un cargador .NET, cuyo comportamiento es coherente con el cargador de Katz. Este cargador incluye técnicas como la evasión del Control de cuentas de usuario (UAC), mecanismos antianálisis, inyección de procesos y persistencia. Las cargas útiles a veces están ocultas en formato Base64 dentro de archivos de texto o imagen extraídos de la biblioteca Internet Archive.

Shadow Vector combina ingeniería social tradicional, abuso de infraestructuras públicas y métodos de ejecución sigilosos, lo que refleja que los ciberdelincuentes de la región de América Latina disponen de un alto grado de flexibilidad operativa y de una madurez técnica cada vez más sofisticada.

Actualmente, el malware tiene como objetivo principal tanto a usuarios particulares como a organizaciones, con el fin de robar credenciales (incluidas las bancarias), registrar pulsaciones de teclas y obtener acceso remoto total a los sistemas comprometidos. Aunque su uso actual se centra en el robo de datos confidenciales y sensibles, sus capacidades técnicas sugieren un potencial de evolución hacia acciones más destructivas, como el despliegue de ransomware.

Introducción

La Unidad de investigación de amenazas (TRU) de Acronis ha identificado una campaña de malware en curso bautizada como Shadow Vector, dirigida activamente a usuarios de Colombia mediante archivos SVG maliciosos que se hacen pasar por notificaciones judiciales urgentes. Estos correos electrónicos engañosos emplean SVG smuggling, una subtecnología recién incorporada al marco MITRE ATT&CK.

SVG smuggling consiste en aprovechar archivos de gráficos vectoriales escalables (SVG) para ocultar o distribuir contenido malicioso. Aunque no se trata de una táctica nueva, su reconocimiento formal pone de manifiesto el creciente uso de formatos de archivo de confianza y flexibles en el phishing y la distribución de malware modernos. Los archivos SVG se renderizan correctamente en los navegadores, admiten enlaces o scripts incrustados y a menudo evitan los controles de seguridad de correo electrónico tradicionales.

Una vez abiertos, estos archivos SVG dirigen a los usuarios a descargar y extraer cargas útiles alojadas en servicios públicos de intercambio de archivos, como Bitbucket, Dropbox, Discord e YDRAY. Los archivos descargados suelen incluir una combinación de ejecutables legítimos y DLL maliciosas, lo que inicia una cadena de infección de varias etapas que finalmente distribuye AsyncRAT y RemcosRAT, dos herramientas de acceso remoto ampliamente utilizadas para el robo de datos.

Entrega: malware servido

El mecanismo de entrega de Shadow Vector refleja una operación de phishing cuidadosamente estructurada que se aprovecha de la ingeniería social y de la confianza pública en las instituciones nacionales. Los mensajes de correo electrónico observados en esta campaña están diseñados para que parezcan notificaciones legales legítimas, y contienen archivos adjuntos SVG que se renderizan en el navegador, una táctica que ayuda a eludir el filtrado de archivos adjuntos y fomenta la interacción del usuario sin levantar sospechas.

El contenido de los archivos SVG es coherente a nivel visual, y suele imitar los formatos oficiales de las citaciones tribunales con muy pocas variaciones. Cada archivo incluye un resumen del caso seguido de un enlace incrustado, normalmente etiquetado como "acceso a documentación legal adicional". Estos enlaces redirigen a los usuarios a archivos alojados en plataformas públicas de intercambio de archivos como Bitbucket, Discord CDN y YDRAY, un método que permite que las cargas útiles se mezclen con el tráfico legítimo y eviten los sistemas básicos de detección basados en la reputación.

Cada archivo está protegido con una contraseña, que a menudo se muestra en el archivo SVG o se proporciona en el cuerpo del mensaje de correo electrónico de phishing. Esta táctica aumenta la implicación del usuario y reduce la inspección basada en la automatización, ya que requiere una extracción manual. Una vez desempaquetado, el archivo contiene un ejecutable legítimo, una DLL benigna pero vulnerable y una DLL maliciosa diseñada para cargarla lateralmente, lo que permite que el malware se ejecute en un proceso de confianza y evite ser detectado.

Cabe destacar que el Consejo Superior de la Judicatura emitió un aviso público en el que alertaba tanto a los empleados judiciales como a la ciudadanía, sobre campañas de phishing en curso que utilizaban la marca de la Rama Judicial de Colombia. El aviso hacía referencia específicamente a mensajes de correo electrónico que distribuían adjuntos maliciosos bajo el pretexto de tratar asuntos judiciales, y recomendaba extremar la precaución al recibir mensajes que solicitaran la descarga de algún documento. En el aviso también se describían los procedimientos para verificar la legitimidad de ese tipo de comunicaciones y se fomentaba que los afectados denunciaran cualquier intento de phishing sospechoso a través de los canales institucionales oficiales.

Expediente del caso: AsyncRAT a través de la carga lateral de DLL

En esta versión de la campaña Shadow Vector, las víctimas reciben un correo electrónico de phishing con un archivo SVG. A continuación, descargan un archivo protegido con contraseña y extraen su contenido. Dicho archivo contiene un ejecutable que parece legítimo y varios archivos de bibliotecas de vínculos dinámicos (DLL), uno de los cuales lleva la carga útil de AsyncRAT. El ejecutable principal suele utilizar nombres como vcredist.exe para parecer inofensivo. Un indicio habitual en estas muestras es la presencia de un archivo mscorlib.dll que siempre presenta el mismo tamaño y estructura. A pesar del nombre, este archivo no es una biblioteca .NET real, sino un archivo personalizado que se utiliza para ocultar el malware. El ataque utiliza la técnica de carga lateral de DLL, en la que el ejecutable, que parece legítimo, carga una DLL maliciosa y pone en marcha el proceso de infección con AsyncRAT.

Cadena de ejecución cargada lateralmente

El ejecutable inicial es una aplicación legítima que invoca la función BrotliEncoderCreateInstance() de la biblioteca "libbrotlicommon.dll". Debido a la secuencia de búsqueda de DLL de Windows, el sistema carga una versión maliciosa de esta DLL que se encuentra en el mismo directorio. Esta técnica de carga lateral de DLL permite la ejecución de código controlado por el atacante en un proceso de confianza y se observa de forma coherente en todas las muestras analizadas en la campaña.

Dentro de la DLL cargada, la primera acción es crear un "handle" (identificador) para el archivo mscorlib.dll situado en el mismo directorio y leer su contenido. Aunque el archivo contenga un encabezado PE válido, varias herramientas de detección lo identifican erróneamente como un binario no ejecutable. Una inspección manual en formato hexadecimal (HEX) reveló que al principio del archivo se habían insertado 9 bytes adicionales, por lo que se desplazó de forma intencionada el encabezado PE. Esta manipulación interfiere en el análisis automático y provoca errores en las herramientas de detección y descompilación de PE, por lo que actúa en la práctica como un mecanismo sencillo para evitar el análisis.

A continuación, la carga útil crea un proceso legítimo, AddInProcess32.exe, en estado suspendido, y realiza la técnica de "process hollowing" (vaciado de procesos) para inyectar y ejecutar el módulo malicioso. Esta técnica implica asignar memoria en el proceso objetivo y escribir la carga útil mediante una serie de llamadas a la API de Windows, incluidas las siguientes: NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, Wow64GetThreadContext, NtWriteVirtualMemory, Wow64SetThreadContext y NtResumeThread. Esto permite que el malware se ejecute bajo el contexto de un binario de sistema de confianza, lo que le ayuda a evadir la detección.

Justo antes de la llamada a "NtWriteVirtualMemory", podemos observar que la DLL cargada en la memoria no tiene los primeros 9 bytes, tal y como ocurría en el archivo original. A continuación, el malware crea un nuevo hilo, configura su contexto de ejecución y lo reanuda. A continuación, el programa actual se cierra.

Tras inyectarse en el proceso en ejecución, la carga útil real de .NET se vuelve visible y se reconoce como un cliente de AsyncRAT, derivado de una implementación de código abierto en C#.

Configuración

Al iniciarse la ejecución, el malware carga su configuración descifrando varios valores cifrados con AES, incluidos los servidores C2, los marcadores de instalación y otros ajustes de tiempo de ejecución. La clave AES está incrustada en la muestra, codificada en Base64. La configuración se puede descifrar con herramientas públicas como CyberChef mediante una "receta" conocida para AsyncRAT.

Una vez descifrados todos los ajustes, el malware comprueba su integridad al comparar el hash del certificado del servidor descodificado con el valor esperado. A continuación, se muestra un ejemplo de una configuración descifrada obtenida durante el análisis:

Parámetro

Valor

Key

"zZ5OP9zoIeGTxRmoYxR6XEu0yUxV6wAE"

Ports

7788

Hosts

"asynk02[.]duckdns[.]org"

Version

"| CRACKED BY https://t[.]me/xworm_v2"

Install

false

Mutex

"AsyncMutex_6SI8OkPnk"

PasteBin

null

Anti

false

Offline KL

false

BDOS

false

Group

Default

Server signature

"ZVd/qp267KSFBMNW9/3VMfHsPytmlgBk9j3jgX17laucHFuCOxWJNB7zndRiJq/jQ6ckzvTkcdMQ3RjDpiY0nNXztOIK52VHO6x9wwi1fPm6WlpIptehdvbnYiychf8iGsWVn5QVy0BqtEv5qimKTJz4nCu1SqPWwqipatSoYR9423v6FIR+IqrQZconVd1UWyF45gjVoB75HbkPWQBmLpbwCqyqYNxfCiwi8ofIQyXiJ6tKaHtlUwbhxn88yAxq+/b2JxrLuiUP8JNIIo65N93UUfZSnBYIyDeXsjYZ3AJtoASFYbbfJApen1mh9bilvLv5ItRjY1abfPOu2/EmpVPuPYmmBsSRH57N9hkt2f3u0QB4IPeY3OXWVTGTcai4r39Bo9a0tT0KaFqgflI//ItgVgwb/YePuEj8FJd7u9pmMJHCR/MOD8rIqxMmhJGAR9AATMGs9awkY6efw+WOt7vJFIOwP/1HIdmQFXEXeY9MH6yaeqgkRrEVK37Xjnv0glvLAMEumoZsHOta3ogupFp9dOAVTorXkm/rPYT8TbLsI1Hq6N8xxaSEdyacNsWl+urAwLCUejjNRPVaO4UGLKPmWgqFA/Qc9k1iTQLjpXwgZiLgLkpPncJCf45MuDlVWzy1J+ax6w0LmU6NmYmctWhonulIFIEiZL98bu5CH0I="

Para comprobar si la carga útil maliciosa se está ejecutando en un entorno de análisis, ejecuta múltiples funciones:

Función

Acción

Check manufacturer (Comprobar fabricante)

Obtiene el nombre del fabricante y lo compara con: “VIRTUAL”, “vmware”, “VirtualBox”

Detect debugger (Detectar depurador)

Ejecuta "CheckRemoteDebuggerPresent"

Detect sandbox (Detectar entorno aislado)

Intenta obtener el "handle" (identificador) de la biblioteca "SbieDll.dll"

Check disk size (Comprobar el tamaño del disco)

Comprueba si el tamaño del disco es inferior a 61 000 000 000 bytes

Is XP (Es XP)

Comprueba si el sistema actual es Windows XP

Si alguna de estas funciones devuelve el valor "true", se llamará a Environment.FailFast(), lo que terminará el proceso.

Instalación y persistencia

Cuando el parámetro "Install" es "true", se ejecutará una función que establecerá la persistencia. En primer lugar, se copia a sí mismo en la nueva ruta mediante el valor de carpeta de la configuración, si está presente, y a continuación ejecuta el comando "schtasks" para establecer el autoarranque al iniciar sesión.

A continuación, se establece una clave de registro de autoarranque. La ruta de la clave se almacena en formato invertido. Por ejemplo, se utiliza "\nuR\noisreVtenrretnuC\swodniW\tfosorciM\erawtfoS" en lugar de "Software\Microsoft\Windows\CurrentVersion\Run", una técnica común (y simple) que emplea el malware para ocultar este comportamiento.

Por último, ejecuta un script por lotes que inicia la carga útil desde la nueva ubicación y elimina la versión antigua.

En cada tecla que pulse y cada paso que dé, le estarán vigilando.

Tras completar la configuración inicial, la carga útil lanza dos hilos. El primero supervisa y almacena de forma continua la marca de fecha/hora de la última entrada del usuario. La segunda funciona como un registrador de pulsaciones ("keylogger"), que establece un "hook" de ventana para rastrear el proceso activo en la pantalla y registrar cada tecla que pulse el usuario.

Para la comunicación con el servidor, la carga útil admite varios métodos de conexión en función del parámetro Pastebin. Si este parámetro se establece en "null", recurrirá a un dominio especificado en la configuración incrustada de la muestra. Primero comprueba si el nombre de dominio es válido mediante ClientSocket.IsValidDomainName(). Si es válido, intentará resolver el dominio mediante Dns.GetHostAddresses() y recorrerá cada dirección IP devuelta para intentar establecer una conexión a través de ClientSocket.TcpClient.Connect(). Si la conexión tiene éxito (ClientSocket.TcpClient.Connected), el bucle se interrumpe. Si el dominio no es válido o la resolución falla, intentará conectarse directamente mediante la cadena original y un puerto predefinido. Esta lógica proporciona redundancia para garantizar que el malware llegue a su infraestructura de mando y control (C2).

Una vez establecida la conexión, el malware transmite los detalles de la víctima, incluida la información del sistema y los metadatos sobre la muestra ejecutada.

Además, el malware comprueba la presencia de carteras de criptomonedas y extensiones específicas del navegador, inspeccionando carpetas designadas. Si las encuentra, establecerá el valor correspondiente en "true". La lista de identificadores que utiliza es la siguiente:

Meta_Firefox, Meta_Chrome, Meta_Brave, Meta_Edge, Meta_Opera, Meta_OperaGX, Phantom_Chrome, Phantom_Brave, Binance_Chrome, Binance_Edge, TronLinkChrome, Exodus_Chrome, BitKeep_Chrome, CoinBase_Chrome, Ronin_Chrome, Trust_Chrome, BitPay_Chrome, F2a_Chrome, F2a_Brave, F2a_Edge, Ergo_Wallet, Ledger_Live, Atomic, Exodus, Electum, Coinomi, Binance, Bitcoin_Core

El cliente recibe los datos del servidor en un formato codificado. Primero descomprime el contenido con la función Zip.Decompress() y, a continuación, descodifica el mensaje. Después de leer un byte del mensaje, lo compara con valores predefinidos. En función del resultado, realiza diversas operaciones, como el intercambio de bytes y la conversión de los datos en tipos de datos específicos.

Cuando se recibe un comando del servidor, la carga útil lo extrae del paquete, calcula su hash y lo compara con los valores almacenados. Cada comando se compara directamente con el conjunto predefinido de comandos válidos:

getscreen, uacoff, killps, ResetHosts, weburl, Chrome, plugin, ResetScale, passload, Wallets, savePlugin, Fox, pong, DiscordTokens, setxt, WDExclusion, KillProxy, Net35, klget, Avast, Block, WebBrowserPass, gettxt, anydesk, backproxy

Una vez identificado el comando adecuado, la carga útil llama a la función Plugins(), que desencadena un procedimiento específico en función del parámetro proporcionado.

Estos complementos (o "plugins") representan los componentes funcionales de cada comando. De forma predeterminada, no todos los complementos se incluyen en la carga útil inicial. En su lugar, se pueden descargar desde el servidor cuando se reciben los comandos "plugin" o "savePlugin". La lista siguiente muestra los comandos incluidos en la carga útil y sus acciones correspondientes:

Comando

Acción

killps

Del inglés "Kill process", se utiliza para finalizar el proceso.

ResetHosts

Borra el archivo "\\hosts.backup".

weburl

Abre la URL proporcionada mediante "Process.Start".

plugin

Descarga e invoca el complemento de la carga útil.

ResetScale

Utiliza SPI SETLOGICALDPIOVERRIDE para cambiar la escala.

pong

Cambia el intervalo entre las comunicaciones cliente-servidor.

klget

Obtiene el archivo de registro del registrador de pulsaciones ("keylogger").

Block

Modifica el archivo "\\hosts" para bloquear una dirección IP determinada.

gettxt

Obtiene datos del portapapeles.

Firmado y entregado: abuso de controladores vulnerables y carga lateral de DLL

Dentro del archivo ZIP encontramos un ejecutable señuelo y dos DLL, una legítima y otra con fines maliciosos. La parte ejecutable carga el archivo legítimo "CiscoSparkLauncher.dll", que a su vez activa la DLL maliciosa para descodificar y desplegar tres archivos en el directorio "%Temp%": dos controladores vulnerables utilizados para la elevación de privilegios a nivel de kernel y la carga útil final de RemcosRAT.

El ejecutable inicial llama a una función de "CiscoSparkLauncher.dll", un archivo legítimo que, a su vez, invoca a GetFileVersionInfoSizeW() desde "VERSION.dll". En este caso, "VERSION.dll" es una DLL maliciosa, lo que indica una carga lateral de DLL clásica. La DLL maliciosa emplea ofuscación del flujo de control en sus funciones, con bucles y comprobaciones condicionales para ralentizar el análisis.

A continuación, asigna un nuevo bloque de memoria de 5 982 208 bytes de tamaño y copia los datos de la sección ".rdata". De hecho, el tamaño de esta sección es de 5 989 888 bytes, y al copiarla se omiten los primeros 7680 bytes. Como resultado, solo se copiarán los datos codificados de esta sección. A continuación, comienza a resolver varias direcciones de la API de Windows desde las bibliotecas "kernel32.dll", "ADVAPI32.dll" y "ole32.dll".

A continuación, los datos que se copiaron de la sección ".rdata" se pasan a la función de descodificación. Aquí, primero construye una clave a partir de dos valores de 16 bytes y descodifica la sección mediante la operación "XOR".

Durante la ejecución, descodificará los datos adicionales de la misma forma, pero esta vez mediante una clave distinta:

Los datos descodificados incluyen un código adicional que se ejecuta después de la descodificación. En primer lugar, este código realiza comprobaciones de máquinas virtuales. Para ello, inspecciona el nombre del sistema en busca de indicadores como "vmware" o "virtualbox", y evalúa la memoria disponible, el número de CPU y la resolución de pantalla. Si alguna de estas condiciones sugiere un entorno virtualizado, el programa finaliza la ejecución.

Posteriormente el programa se copiará a sí mismo junto con los archivos "CiscoSparkLauncher.dll" y "VERSION.dll" en la carpeta "%Temp", y ejecutará el siguiente comando para establecer la persistencia:

C:\Windows\system32\cmd.exe /c schtasks /create /tn "Yt4Bvc2G" /tr "C:\Users\DEV\AppData\Roaming\DEMANDA LABORAL JUDICIAL 2313154.exe" /sc onlogon /rl highest /f

Para eludir el software antimalware, comprueba la presencia de las rutas de las carpetas y, a continuación, utiliza las funciones "CreateToolHelp32Snapshoot", "Process32First" y "Process32Next" para enumerar todos los procesos en ejecución y finalizar aquellos que coincidan con la lista de nombres de procesos guardada:

AnhRpt, Ahnsd, v3sp, mupdate2, autop, ArtHost, ASDSvc, v3lite4, v314sp, V3Light, V3Medic, V3SVC, AhnLabPolicyAgent, eausvc, AYUpdate.aye, ALYac.aye, AYAgent.aye, AYUpdSrv.aye, AYWSSrv.aye, AYTRSrv.aye, ALMountService, eOppFrame, egui, eguiProxy, efwd, ekrn, mc-fwhost, mc-web-view, mcupdate, mfwc, updaterui, mfeann, mcuicnt, mfevtps, mfetp, mfemms, McShield, AvEmUpdate, icarus_ui, overseer, AVGUI, aswidsagent, afwServ, avgToolsSvc, aswEngSrv, AVGSvc, wsc_proxy, overseer, wa_3d_party_host_64, su_worker, wa_3d_party_host_32, AvastBrowserUpdate, AvBugReport, AvastBrowserProtect, icarus_ui, icarus, AvastUI, aswidagent, afwServ, aswToolSvc, aswEngSrv, AvastSvc, wsc_proxy, MpCmdRun, NisSrv, MsMpEng, smartscreen, MpDefenderCoreService, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon, 360UHelper, 360speedld, safesvr, SoftMgr, LiveUpdate360, inst, 360Safe, 360leakFixer, 360Tray, ZhuDongFangYu, PopTip, 360TsLiveUpd, certuril, PromoUtil, PopWndLog, QHSafeTray, QHWatchdog, QHActiveDefense, QHSafeMain, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon

A continuación, lee datos adicionales de la sección ".rdata", los descodifica y escribe tres archivos en la carpeta "%Temp":

Nombre de archivo

Descripción

VFZE6ksYnpPfSnEWUNg.sys

Controlador vulnerable de WiseCleaner

cuDX73ob9SxeAS0IdV.sys

Controlador vulnerable de Zemana

svchost.exe

RemcosRAT

Ambos controladores vulnerables se inician como servicios en modo kernel. A continuación, la muestra utiliza la función DeviceIoControl() con el código de control 0x80002010 para registrar el proceso svchost.exe descargado como autenticado y, por último, finaliza su propia ejecución.

La carga útil analizada almacena su configuración como un recurso cifrado. El primer byte indica el tamaño de la clave, seguido de la clave de cifrado RC4. Los datos restantes contienen la configuración cifrada.

La configuración descifrada revela varios parámetros operativos utilizados por el malware, incluida la dirección y el puerto del servidor de mando y control (C2), el nombre de la botnet, el tamaño máximo de los archivos de registro del registrador de pulsaciones ("keylogger"), el nombre del archivo binario y el nombre del mútex. También especifica el intervalo de captura de pantalla en segundos, los nombres de las carpetas designadas para almacenar las capturas de pantalla y grabaciones de audio, y un número de licencia, probablemente utilizado para realizar un seguimiento de las implementaciones o el uso por parte de afiliados.

Ofuscación sostenida

En el momento de redactar este artículo, se está desarrollando un nuevo capítulo de la campaña Shadow Vector, que amplía las técnicas de SVG smuggling documentadas previamente. En esta iteración, los ciberdelincuentes adoptan un enfoque modular, desplegando un cargador asociado a Katz Stealer. La cadena de infección sigue comenzando con señuelos SVG cuidadosamente diseñados, pero ahora incluye "stagers" (cargadores iniciales) de JavaScript y PowerShell, una técnica de evasión de UAC mediante cmstp.exe y una DLL de cargador dinámica .NET equipada con funciones antianálisis, inyección de procesos y mecanismos de persistencia opcionales.

Los ciberdelincuentes detrás de la actividad más reciente de Shadow Vector están utilizando varios repositorios de Bitbucket para alojar los "stagers" maliciosos de JavaScript y VBS. Uno de estos repositorios, "notificaciones-judiciales2025-2005", registró más de 170 descargas combinadas de sus cargas útiles por fases en tan solo unas horas tras su publicación en el repositorio el 28 de mayo de 2025. Este volumen de actividad sugiere que es probable que se estuviera llevando a cabo una campaña de phishing coordinada durante ese período. Entre los alias utilizados por quienes subieron los archivos maliciosos al repositorio, "TheMrHacker" destaca frente al uso constante de la etiqueta genérica "Envio", que podría ofrecer una pista sobre la identidad del operador.

La cadena de infección comienza con un archivo JavaScript que simula ser un aviso legal, en este caso denominado "001-Notificacion_electronica_demanda_judicial_Departamento_Juridico.js", que actúa como "dropper" inicial. Al ejecutarse, recupera un script de segunda fase desde Paste.ee.

Este script de seguimiento ofuscado lanza un comando de PowerShell configurado para ejecutarse en modo silencioso (-nop -w hidden) mediante Invoke-Expression, lo que le permite recuperar contenido adicional codificado a partir de dos endpoints de Paste.ee (ambos con el mismo hash SHA256).

En la fase final, el script descarga una DLL codificada en Base64 desde Internet Archive, normalmente oculta dentro de un archivo de texto alojado en archive[.]org/replace_202505/REPLACE[.]txt. En algunos casos, en su lugar recupera un archivo de imagen que contiene una carga útil codificada en Base64, oculta dentro del propio contenido de la imagen. El script extrae y descodifica la carga útil, y después carga la DLL directamente en la memoria mediante el método [Reflection.Assembly]::Load().

La cadena de infección por fases entrega una DLL de .NET que carga y ejecuta de forma dinámica el método dnlib.IO.Home.VAI(), un comportamiento coherente con muestras conocidas del cargador de Katz. Aunque el cargador coincide con varias firmas YARA vinculadas a Katz Stealer, en este caso no despliega el stealer. En lugar de ello, recupera la carga útil final en tiempo de ejecución y la ejecuta completamente en la memoria, sin dejar rastro en el disco. El cargador implementa funciones avanzadas, como comprobaciones antidepuración y antimanipulación, una evasión opcional del UAC mediante cmstp.exe y descifrado de cadenas a partir de un blob de recursos cifrado. Además, utiliza el "process hollowing" (vaciado de procesos) para inyectar código en archivos binarios legítimos y mantiene la persistencia a través de tareas programadas y modificaciones del registro. También permite configurar en tiempo de ejecución las comprobaciones contra máquinas virtuales.

Varias cadenas incrustadas en el código del cargador están escritas en portugués, incluidos mensajes como "Baixar e executar o PuTTY a cada 1 minuto indefinidamente" ("Descargar y ejecutar PuTTY cada 1 minuto indefinidamente"), "Extensão não suportada" ("Extensión no compatible"), "Recurso 'UAC.dll' não encontrado!" ("Recurso 'UAC.dll' no encontrado") y "Erro ao executar a DLL em memória" ("Error al ejecutar la DLL en memoria"). Estos mensajes, combinados con los nombres de los parámetros utilizados en el método VAI (p. ej., ‘caminhovbs’, ‘persitencia’, ‘extenção’, ‘nomedoarquivo’), sugieren que el cargador comparte elementos de diseño o reutilización de código con herramientas desarrolladas por ciberdelincuentes de habla portuguesa, en particular los implicados en campañas de malware con ánimo de lucro que tienen a Brasil en el punto de mira.

Conclusiones finales

Como evolución de sus anteriores técnicas de SVG smuggling, estos ciberdelincuentes han adoptado un cargador modular residente en memoria que puede ejecutar cargas útiles de forma dinámica y completamente en memoria, lo que deja un rastro mínimo. Este cargador se distribuye a través de una cadena de infección por fases que utiliza plataformas de alojamiento público, un enfoque que complica los esfuerzos de atribución y eliminación.

El hecho de que el cargador contenga cadenas y parámetros de métodos en portugués refleja técnicas y procedimientos que se observan con frecuencia en el malware bancario brasileño, lo que sugiere una posible reutilización de código, uso compartido de recursos de desarrollo o incluso colaboración entre ciberdelincuentes de distintas regiones.

La campaña mantiene su enfoque en objetivos latinoamericanos, recurre a la suplantación de instituciones y despliega sus componentes de forma rápida y escalable, lo que pone de manifiesto una amenaza persistente que seguirá evolucionando con el tiempo.

Detectado por Acronis

RemcosRAT

Indicadores de compromiso

YARA

rule crimeware_shadow_vector_svg

{

meta:

description = "Detects malicious SVG files associated with Shadow

Vector's Colombian campaign"

author = "Acronis TRU"

date = "2025-06-06"

file_type = "SVG"

malware_family = "Shadow Vector"

threat_category = "Crimeware / Malicious Image / Embedded Payload"

tlp = "TLP:CLEAR"

strings:

$svg_tag1 = "<?xml" ascii

$svg_tag2 = "<svg" ascii

$svg_tag3 = "<!DOCTYPE svg" ascii

$svg_tag4 = "http://www.w3.org/2000/svg" ascii

//used by Shadow Vector (possibly generated in batch)

$judicial = "juzgado" ascii nocase

$judicial_1 = "citacion" ascii nocase

$judicial_2 = "judicial" ascii nocase

$judicial_3 = "despacho" ascii nocase

$generado = "Generado" ascii nocase

condition:

filesize < 3MB and

3 of ($svg_tag*) and

(1 of ($judicial*) and $generado)

}

Referencias

MuchoHacker. "Correos de hospital y Rama Judicial en Colombia son usados para enviar correos falsos con archivos SVG que podrían contener malware". 31 de octubre de 2024.

https://muchohacker.lol/2024/10/correos-de-hospital-y-rama-judicial-en-colombia-son-usados-para-enviar-correos-falsos-con-archivos-svg-que-podrian-contener-malware

SciLabs. "Red Akodon: A new threat actor distributing RAT to Colombia". 27 de mayo de 2024.

https://blog.scilabs.mx/en/2024/05/27/red-akodon-a-new-threat-actor-distributing-rat-to-colombia

Entorno

Infraestructuras

Móviles

Aplicaciones

Comparar Acronis

Shadow Vector ataca a los usuarios de Columbia con notificaciones judiciales urgentes falsas

Resumen

Introducción

Entrega: malware servido

Expediente del caso: AsyncRAT a través de la carga lateral de DLL

Cadena de ejecución cargada lateralmente

Configuración

Instalación y persistencia

En cada tecla que pulse y cada paso que dé, le estarán vigilando.

Firmado y entregado: abuso de controladores vulnerables y carga lateral de DLL

Ofuscación sostenida

Conclusiones finales

Detectado por Acronis

RemcosRAT

Indicadores de compromiso

SVG

Paquetes

Cargas útiles

YARA

Referencias