Los investigadores de AhnLab Security Emergency Response Center (ASEC) han identificado una campaña de ciberataques altamente sofisticada que ha comprometido múltiples cibercafés en Corea del Sur. Esta operación maliciosa combina el uso del troyano de acceso remoto Gh0st RAT con el minero de criptomonedas T-Rex, representando una evolución significativa en las tácticas de ciberdelincuencia dirigidas a infraestructuras comerciales.
Evolución temporal de la amenaza cibernética
El análisis forense revela que los atacantes han mantenido actividad sostenida desde 2022, intensificando sus operaciones contra cibercafés durante la segunda mitad de 2024. La selección de objetivos no es aleatoria: todos los sistemas comprometidos ejecutaban software especializado de gestión para cibercafés de origen surcoreano, lo que sugiere un conocimiento profundo del ecosistema tecnológico local.
La complejidad de esta campaña se evidencia en el hecho de que el vector de ataque inicial permanece sin identificar, complicando significativamente los esfuerzos de mitigación y prevención. Esta característica es típica de operaciones cibercriminales avanzadas que emplean múltiples puntos de entrada para mantener el acceso persistente.
Análisis técnico del arsenal malicioso
Capacidades avanzadas del Gh0st RAT
El Gh0st RAT utilizado en esta campaña representa una versión modificada del troyano originalmente desarrollado por C. Rufus Security Team. Su naturaleza de código abierto ha facilitado la creación de variantes personalizadas con funcionalidades expandidas que incluyen:
• Control remoto completo del sistema objetivo
• Manipulación avanzada de archivos y procesos
• Recopilación exhaustiva de información del sistema
• Capacidades de keylogging para robo de credenciales
• Captura automática de pantallas para espionaje
Técnicas de persistencia y evasión
Una característica particularmente innovadora de esta campaña es la implementación de técnicas de «memory patching» dirigidas específicamente al software de gestión de cibercafés. El malware ejecuta un escaneo continuo de procesos activos, identificando la aplicación objetivo y comparando su estructura de memoria con patrones predefinidos.
Cuando se detecta una coincidencia, el malware modifica dinámicamente la memoria, sustituyendo referencias a archivos WAV por cmd.exe. Esta manipulación permite al dropper del Gh0st RAT posicionarse estratégicamente en directorios de archivos de audio, ejecutándose de manera encubierta durante operaciones rutinarias del sistema.
Estrategia de monetización mediante criptominería
A diferencia de campañas convencionales que emplean XMRig para minar Monero, estos atacantes han optado por el minero T-Rex, una decisión estratégica basada en las características del hardware objetivo. Los cibercafés surcoreanos típicamente cuentan con equipos de alto rendimiento, incluyendo tarjetas gráficas potentes diseñadas para gaming.
El T-Rex aprovecha eficientemente la potencia de cómputo de las GPU para minar Ethereum y RavenCoin, generando mayores retornos económicos comparado con mineros basados en CPU. Los investigadores también documentaron la presencia del minero Phoenix en algunos sistemas, confirmando la naturaleza comercial de estas operaciones cibercriminales.
Medidas de protección y contramedidas
El fabricante del software de gestión comprometido ha implementado listas negras específicas para bloquear procesos maliciosos conocidos. Sin embargo, la naturaleza evolutiva de estas amenazas requiere un enfoque de seguridad multicapa que incluya:
• Actualización sistemática de todos los componentes de software
• Monitoreo continuo del tráfico de red para detectar anomalías
• Implementación de soluciones antimalware especializadas en detección de mineros
• Aplicación del principio de menor privilegio en cuentas de usuario
Esta campaña ilustra la sofisticación creciente de las amenazas dirigidas a infraestructuras comerciales y subraya la importancia crítica de mantener una postura de seguridad proactiva. La combinación de troyanos de acceso remoto con operaciones de criptominería representa una tendencia emergente que requiere atención inmediata de la comunidad de ciberseguridad para desarrollar defensas efectivas contra futuras variantes de estos ataques multifacéticos.
