Los especialistas en ciberseguridad han confirmado el retorno del grupo APT Scaly Wolf con un arsenal significativamente mejorado de herramientas maliciosas. Durante junio de 2025, esta organización criminal ejecutó un sofisticado ataque multivectorial contra una empresa manufacturera rusa, desplegando el backdoor modular Updatar equipado con un sistema de ofuscación sin precedentes.
Transformación Táctica del Grupo Scaly Wolf
Esta campaña representa una evolución natural de las operaciones iniciadas por Scaly Wolf en 2023, cuando la organización se enfocó sistemáticamente en el sector manufacturero e industrial. La principal diferencia radica en el abandono completo de servicios MaaS (Malware-as-a-Service) comerciales, optando por desarrollar herramientas propias que ofrecen mayor control operacional y menor detección por parte de soluciones antimalware tradicionales.
El cambio estratégico hacia herramientas personalizadas demuestra la madurez operacional del grupo y su capacidad para invertir recursos considerables en investigación y desarrollo de malware especializado.
Campaña de Phishing como Vector de Acceso Inicial
La fase inicial del ataque comenzó en mayo de 2025 mediante una campaña de phishing altamente dirigida que utilizaba documentos financieros falsos como señuelo. Los atacantes emplearon técnicas de ingeniería social sofisticadas, distribuyendo archivos PDF que supuestamente contenían información sobre documentos financieros importantes almacenados en archivos ZIP protegidos.
La técnica más peligrosa implementada consistía en el uso de extensiones dobles para camuflar archivos ejecutables como documentos PDF legítimos. Los archivos maliciosos utilizaban nombres como «Documento_Financiero.pdf.exe», aprovechando la configuración predeterminada de Windows que oculta las extensiones de archivo conocidas, engañando a las víctimas para que percibieran únicamente la extensión «.pdf».
Análisis Técnico del Backdoor Updatar
El componente central de esta operación es Trojan.Updatar.1, un cargador sofisticado diseñado para desplegar un backdoor modular completo. Aunque las primeras muestras de esta amenaza fueron identificadas hace un año, el análisis completo solo fue posible recientemente, ya que los módulos adicionales se cargaban manualmente por los operadores desde servidores de comando y control.
Sistema de Ofuscación RockYou: Innovación en Evasión
La versión actualizada de Trojan.Updatar.1 incorpora un mecanismo de protección revolucionario denominado RockYou Obfuscation. Este sistema utiliza el famoso diccionario de contraseñas RockYou.txt, que contiene más de 30 millones de entradas, para generar operaciones falsas que complican significativamente el análisis de ingeniería inversa.
Las cadenas críticas del código se cifran mediante operaciones XOR combinadas con desplazamientos únicos, donde cada muestra utiliza una clave específica, haciendo prácticamente imposible el análisis automatizado.
Cronología del Ataque Multifásico
La compromisión siguió un cronograma meticulosamente planificado. El 12 de mayo de 2025 se produjo la infección inicial, y en menos de una hora, el troyano había descargado los componentes Trojan.Updatar.2 y Trojan.Updatar.3. Para el 14 de mayo, los atacantes habían implementado Meterpreter del framework Metasploit utilizando el servicio BITS de Windows.
Para el robo de credenciales, los cibercriminales desplegaron Tool.HandleKatz, una utilidad especializada para extraer información del proceso LSASS. Las credenciales obtenidas permitieron la instalación de RDP Wrapper para acceso remoto persistente, junto con herramientas de tunelización como Tool.Chisel y Tool.Frp.
Movimiento Lateral y Evasión de Defensas
La compromisión de sistemas adicionales reveló la notable adaptabilidad del grupo ante las medidas de seguridad implementadas. Cuando las soluciones antivirus bloquearon componentes automatizados, los operadores pivotaron hacia instalación manual de módulos y métodos alternativos de persistencia.
En el tercer sistema comprometido, los atacantes utilizaron credenciales RDP robadas e intentaron evadir las defensas mediante scripts PowerShell multicapa con codificación base64. Tras enfrentar bloqueos adicionales, implementaron la herramienta RemCom y ejecutaron reconocimiento para identificar las soluciones de seguridad instaladas.
Estrategias de Mitigación contra Amenazas APT
Este incidente subraya la importancia crítica de implementar defensas en profundidad en entornos corporativos. Las organizaciones deben fortalecer el filtrado de correo electrónico, desplegar soluciones EDR para detección de actividades anómalas y realizar auditorías regulares de conectividad RDP. Es fundamental establecer programas de concienciación sobre phishing que incluyan específicamente el reconocimiento de archivos con extensiones dobles y técnicas de ingeniería social avanzadas.
