La firma de inteligencia de amenazas eSentire ha identificado ChaosBot, un backdoor escrito en Rust que emplea Discord como infraestructura de comando y control (C2). La actividad fue observada por primera vez a finales de septiembre de 2025 en un cliente del sector financiero. El malware permite realizar reconocimiento, ejecutar comandos arbitrarios y mantener acceso persistente encubierto en tráfico legítimo, complicando su detección por soluciones tradicionales.
Vector de entrada: LNK de phishing y abuso de credenciales
Los atacantes combinaron credenciales comprometidas válidas para Cisco VPN y una cuenta privilegiada de Active Directory (service account) con campañas de phishing mediante archivos LNK. Al abrir el LNK, se desencadenaba una orden de PowerShell que descargaba y ejecutaba ChaosBot mientras se mostraba un PDF señuelo que imitaba una comunicación del Banco Estatal de Vietnam para desviar la atención. Paralelamente, con las credenciales robadas, los operadores utilizaron WMI para ejecución remota y movimiento lateral en el dominio.
Carga maliciosa camuflada en procesos de Microsoft Edge
La carga útil se presenta como la DLL msedge_elf.dll, cargada a través del ejecutable de Edge identity_helper.exe. Este enfoque de “vivir de lo legítimo” reduce el ruido en la telemetría y ayuda a evadir detecciones basadas en firmas. Tras desplegarse, ChaosBot realiza reconocimiento del sistema y entrega un fast reverse proxy (FRP) para habilitar un canal de acceso remoto persistente hacia el exterior.
Discord como C2: canales por host y control granular
La campaña destaca por su uso de Discord como C2. Para cada equipo comprometido se crea un canal que replica el nombre del host, donde los operadores envían instrucciones y reciben resultados. eSentire vincula la actividad a las cuentas de Discord chaos_00019 y lovebb0024. El conjunto de funciones incluye inventario del sistema, ejecución de comandos y orquestación de componentes como FRP para expandir el alcance en la red, una táctica alineada con MITRE ATT&CK (uso de servicios web y de mensajería para C2).
Evasión y anti-análisis: parcheo de ETW y comprobaciones anti-VM
Las últimas compilaciones integran técnicas para degradar la observabilidad y evadir entornos de análisis. Destaca el parcheo de ntdll!EtwEventWrite (forzando retorno inmediato), que reduce la telemetría de eventos y complica las detecciones basadas en ETW/EDR. Además, el binario verifica prefijos MAC asociados a VMware y VirtualBox; si se detectan, finaliza su ejecución, evitando sandboxes de análisis dinámico.
Persistencia y túneles: FRP y pruebas con VS Code Tunnel
Además de Discord y FRP, los atacantes intentaron configurar Visual Studio Code Tunnel como backdoor adicional. Aunque el intento no prosperó, el uso de servicios legítimos de desarrollo ilustra la tendencia de “living-off-the-cloud” para camuflar C2 y acceso remoto entre tráfico empresarial habitual.
Impacto y encaje en MITRE ATT&CK
El uso de Rust complica el análisis estático y reduce la eficacia de firmas; el abuso de Discord/VS Code se alinea con Tácticas de C2 en servicios comunes; el movimiento lateral vía WMI y la creación de túneles inversos mediante FRP incrementan el impacto operacional. Estas TTPs mapean con MITRE ATT&CK como T1566 (phishing), T1204/T1059 (ejecución mediante LNK/PowerShell), T1047 (WMI), T1090 (proxy/reenvío), y técnicas de defensa evasion como T1562/patching de ETW. Campañas previas han explotado Discord para C2 (p. ej., ladrones de información como RedLine), lo que refuerza la validez de este vector en entornos corporativos.
Medidas de mitigación recomendadas
- MFA obligatorio en VPN y cuentas administrativas; rotación y principio de mínimo privilegio para service accounts.
- Políticas estrictas sobre adjuntos: bloquear o poner en cuarentena LNK externos, usar contenedores seguros y formación específica sobre señuelos LNK.
- Endurecer PowerShell: Constrained Language Mode y registro integral (Script Block, Module, Transcription); habilitar Microsoft Defender ASR para bloquear lanzamientos desde LNK/Office y abuso de living-off-the-land.
- Control de egress a APIs de Discord: bloquear o inspeccionar vía proxy; alertar sobre patrones anómalos de Discord/Webhooks.
- Integridad y caza de memoria: detectar parcheo de EtwEventWrite, inyecciones en procesos de Edge y cargas DLL atípicas (p. ej., msedge_elf.dll vía identity_helper.exe).
- Detección de FRP y túneles: inventario y política explícita para VS Code Tunnel; bloquear túneles no autorizados y monitorizar puertos/transitorios inusuales.
ChaosBot ejemplifica cómo combinar LNK de phishing, credenciales robadas, Discord como C2 y técnicas de evasión puede acelerar el afianzamiento en una red con baja huella. Es momento de reforzar MFA en accesos remotos, revisar la política de adjuntos, limitar PowerShell, y vigilar servicios “de consumo” en el perímetro. Mantenerse al día con reportes de eSentire y de equipos CERT, y afinar la caza de amenazas en torno a WMI, PowerShell y túneles inversos, marcará la diferencia en detección temprana.
