Cibercriminales aprovechan archivos .blend para distribuir StealC V2 en plataformas de diseño 3D

Introducción

En los últimos meses, investigadores de ciberseguridad han detectado una campaña maliciosa que utiliza archivos legítimos de la Blender Foundation (.blend) para propagar el infostealer StealC V2. Este vector de ataque, hasta ahora poco habitual en el ámbito de la seguridad, ha afectado principalmente a usuarios de plataformas de diseño 3D como CGTrader, abriendo una nueva superficie de riesgo tanto para profesionales creativos como para empresas que integran estos recursos en sus flujos de trabajo.

Contexto del Incidente

La campaña fue identificada y documentada por Morphisec, cuyos analistas han confirmado al menos seis meses de actividad continuada. Los atacantes han conseguido insertar archivos .blend manipulados en repositorios y mercados digitales frecuentados por la comunidad de modelado 3D, en especial CGTrader. Los usuarios, confiando en la reputación de estos sitios, descargan los recursos sin sospechar que contienen cargas maliciosas.

El uso de archivos .blend como vector de ataque representa una evolución significativa en las tácticas de entrega de malware. Tradicionalmente, los ciberdelincuentes se han centrado en documentos ofimáticos, ejecutables o archivos comprimidos. Sin embargo, la explotación de formatos especializados como .blend aprovecha la confianza del sector creativo y la menor visibilidad de estos riesgos entre administradores de sistemas y equipos de seguridad.

Detalles Técnicos

La campaña está centrada en la distribución de StealC V2, una variante evolucionada del conocido infostealer StealC, documentado previamente en foros de hacking y canales de Telegram. El vector principal es la manipulación de archivos .blend, que permiten la inclusión de scripts Python maliciosos ejecutables desde el entorno Blender, aprovechando la funcionalidad nativa de scripting.

CVE y Vectores de Ataque
Aunque no existe un CVE específico asociado a vulnerabilidades en Blender, el abuso de la funcionalidad de scripting embebido en archivos .blend supone un riesgo serio. El ataque se encuadra en la táctica «User Execution: Malicious File» (T1204.002) del framework MITRE ATT&CK. La ejecución se produce cuando el usuario abre el archivo .blend con Blender y, sin advertencias adicionales, se desencadenan scripts que descargan y ejecutan StealC V2.

TTP y Artefactos Observados
– Uso de scripts Python ofuscados dentro de los archivos .blend.
– Conexión a dominios de comando y control (C2) específicos de StealC, con DNS tunneling y cifrado estándar (TLS 1.2/1.3).
– Implementación de técnicas de evasión como anti-VM y comprobación de sandbox, dificultando la detección por parte de sandboxes automáticos y EDRs tradicionales.
– Indicadores de compromiso (IoC): hashes SHA256 de archivos .blend maliciosos, direcciones IP asociadas a los C2, y rutas de descarga de payloads secundarios.

Herramientas y Frameworks
El análisis revela la utilización de frameworks como Metasploit para la creación de payloads y módulos de persistencia, así como infraestructura de Cobalt Strike para movimientos laterales y exfiltración de datos.

Impacto y Riesgos

El impacto de la campaña es significativo. StealC V2 es capaz de robar credenciales almacenadas en navegadores, carteras de criptomonedas, credenciales FTP, y realizar capturas de pantalla y exfiltración de archivos sensibles. Dada la naturaleza de las plataformas atacadas, se estima que miles de usuarios han sido potencialmente expuestos, incluidas agencias de diseño, estudios de animación y empresas de videojuegos.

Según estimaciones de Morphisec, el 17% de los archivos .blend descargados de CGTrader en el periodo analizado estaban comprometidos. Los riesgos para las organizaciones incluyen fugas de propiedad intelectual, exposición de credenciales corporativas y acceso no autorizado a sistemas internos.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, se recomienda:

– Desactivar la ejecución automática de scripts en Blender (preferencias de usuario).
– Implementar soluciones EDR/NDR con capacidades específicas de análisis de archivos no convencionales.
– Monitorizar el tráfico saliente hacia dominios y direcciones IP sospechosas identificadas en los IoC.
– Utilizar sandboxing avanzado para analizar archivos .blend antes de su apertura en entornos de producción.
– Capacitar a los usuarios sobre los riesgos asociados a la descarga de archivos de terceros, incluso desde repositorios de confianza.

Opinión de Expertos

Expertos coinciden en que la diversificación de los vectores de ataque es una tendencia creciente. «El abuso de archivos de nicho como .blend demuestra la sofisticación y creatividad de los cibercriminales», indica Shmuel Uzan, de Morphisec. «Las empresas deben ampliar su perímetro de defensa más allá de los formatos tradicionales y considerar la seguridad incluso en herramientas especializadas».

Implicaciones para Empresas y Usuarios

Desde el punto de vista legal, un incidente de exfiltración de datos mediante StealC V2 puede suponer una violación del GDPR, con multas de hasta el 4% del volumen de negocio anual global. Además, la inminente entrada en vigor de NIS2 exige a las organizaciones reforzar sus controles sobre activos digitales y cadenas de suministro, incluidas plataformas de recursos digitales.

Para los analistas SOC, pentesters y administradores de sistemas, este incidente subraya la necesidad de actualizar playbooks de respuesta y ampliar las fuentes de inteligencia de amenazas a sectores y formatos menos convencionales.

Conclusiones

La campaña de distribución de StealC V2 mediante archivos .blend marca un punto de inflexión en la evolución de los ataques dirigidos a sectores creativos y técnicos. La combinación de ingeniería social, explotación de scripting embebido y malware modular exige una respuesta coordinada que combine concienciación, tecnología y procedimientos robustos de análisis y mitigación.

(Fuente: feeds.feedburner.com)