Los investigadores de Red Canary han descubierto una sofisticada campaña de ciberataques que utiliza un nuevo malware para Linux denominado DripDropper. Esta amenaza presenta una característica sin precedentes: los atacantes reparan las vulnerabilidades que explotan inicialmente para ocultar sus rastros y mantener el control exclusivo de los sistemas comprometidos.
Explotación de la Vulnerabilidad Crítica Apache ActiveMQ
La campaña se centra en la explotación de CVE-2023-46604, una vulnerabilidad crítica de ejecución remota de código que afecta a Apache ActiveMQ. Esta falla de seguridad, calificada con la puntuación máxima de 10.0 en la escala CVSS, permite a los atacantes ejecutar comandos shell arbitrarios mediante tipos de clases serializadas en el protocolo OpenWire.
A pesar de que la vulnerabilidad fue identificada y parcheada oficialmente en octubre de 2023, numerosas organizaciones mantienen sus sistemas sin actualizar, proporcionando un amplio vector de ataque para los ciberdelincuentes. Esta situación refleja un problema sistémico en la gestión de vulnerabilidades corporativas.
Táctica Innovadora: Reparación Post-Compromiso
Una vez que logran el acceso inicial al sistema, los atacantes implementan una estrategia única en el panorama de amenazas actuales. Después de establecer su presencia mediante backdoors, los criminales instalan dos archivos JAR específicos que efectivamente cierran la vulnerabilidad CVE-2023-46604 originalmente explotada.
Esta metodología permite a los atacantes evadir los escáneres automatizados de vulnerabilidades, que dejan de detectar la falla en el sistema comprometido. Los expertos de Red Canary señalan que esta técnica es extremadamente rara y demuestra un nivel avanzado de sofisticación operacional.
Proceso de Compromiso Técnico
Para el acceso inicial, los atacantes emplean Sliver implant, una herramienta legítima de penetration testing frecuentemente abusada con fines maliciosos. A través de este vector, los ciberdelincuentes modifican el archivo de configuración del demonio SSH (sshd) para obtener acceso root privilegiado.
Posteriormente, se despliega el payload principal: un archivo ELF cifrado de DripDropper compilado utilizando PyInstaller, lo que complica su análisis y detección por parte de las soluciones de seguridad tradicionales.
Capacidades del Malware DripDropper
DripDropper representa una amenaza multifuncional que utiliza Dropbox como infraestructura de comando y control (C2). Esta elección estratégica dificulta significativamente la identificación y bloqueo de las comunicaciones maliciosas, ya que el tráfico se camufla como actividad legítima de servicios en la nube.
Las funcionalidades principales del malware incluyen monitoreo continuo de procesos del sistema, recepción de instrucciones operacionales a través de la API de Dropbox, y establecimiento de mecanismos de persistencia robustos. Para mantener el acceso permanente, DripDropper modifica archivos 0anacron en directorios /etc/cron.* y altera configuraciones SSH críticas.
Establecimiento de Puntos de Acceso Alternativos
Una técnica particularmente notable es la modificación del shell predeterminado para la cuenta de usuario games, cambiándolo a /bin/sh. Esta manipulación crea un punto de acceso persistente adicional que permite a los atacantes mantener control operacional incluso si se descubre y neutraliza el backdoor principal.
Desafíos en la Gestión de Parches
El caso de CVE-2023-46604 ilustra vívidamente las deficiencias en los procesos de gestión de vulnerabilidades empresariales. A pesar de la disponibilidad del parche durante más de un año, muchas organizaciones permanecen expuestas debido a retrasos significativos en las actualizaciones de proveedores.
Un ejemplo destacado es Oracle, que no liberó su actualización hasta enero de 2025, ignorando múltiples advertencias de la comunidad de seguridad sobre la explotación activa de esta vulnerabilidad en ataques reales. Esta demora contribuye directamente al éxito continuado de campañas como la de DripDropper.
La protección efectiva contra amenazas de esta sofisticación requiere una estrategia de seguridad multicapa que incluya actualizaciones proactivas de software, monitoreo continuo del tráfico de red y auditorías regulares de configuraciones de seguridad. Las organizaciones deben priorizar especialmente la protección de sistemas con exposición pública y infraestructura crítica, que constituyen objetivos primarios para estos ataques avanzados.
