### Campañas Masivas Distribuyen Lumma, Arechclient2 y Rhadamanthys Aprovechando Frameworks de Evasión AV/EDR

#### Introducción

En los últimos meses, la comunidad de ciberseguridad ha detectado una notable intensificación en el uso de sofisticados frameworks de evasión de antivirus y soluciones EDR (Endpoint Detection and Response) para distribuir malware avanzado. En concreto, investigadores han identificado campañas coordinadas que propagan variantes de los infames stealers Lumma, Arechclient2 y Rhadamanthys, empleando técnicas de evasión que complican la detección y respuesta ante incidentes por parte de los equipos SOC y los sistemas de defensa tradicionales.

#### Contexto del Incidente

El auge de los frameworks de evasión AV/EDR ha supuesto un cambio de paradigma en el desarrollo y despliegue de malware. Herramientas como Brute Ratel, Sliver y Cobalt Strike, ampliamente utilizadas en ejercicios de red teaming y pentesting, han sido adaptadas por actores maliciosos para saltarse los controles de seguridad. Las campañas recientes se caracterizan por la distribución masiva de stealers —malware orientado al robo de credenciales y exfiltración de información sensible— dirigidos principalmente a usuarios finales y entornos corporativos con sistemas Windows.

Los actores detrás de estas campañas aprovechan vulnerabilidades en la cadena de suministro de software, técnicas de phishing y descargas drive-by para inicializar la infección. Una vez dentro del sistema objetivo, el malware utiliza funcionalidades avanzadas de los frameworks para evadir la detección, desplegar payloads adicionales y persistir en la infraestructura comprometida.

#### Detalles Técnicos

Las campañas identificadas distribuyen principalmente tres familias de malware:

– **Lumma Stealer**: Popular desde 2023, este stealer es conocido por su capacidad para extraer información de navegadores, carteras de criptomonedas y clientes FTP. Utiliza técnicas de empaquetado y cifrado para dificultar el análisis forense.
– **Arechclient2**: Variante menos conocida pero efectiva, especializada en el robo de credenciales y datos de sesión, incorporando capacidades de comunicación cifrada con C2 (Command and Control).
– **Rhadamanthys**: Stealer modular que destaca por su flexibilidad, permitiendo a los atacantes seleccionar módulos de exfiltración y persistencia según el objetivo.

Las campañas hacen uso extensivo de frameworks de evasión como **Brute Ratel C4** y **Sliver**, que permiten generar payloads indetectables por la mayoría de las soluciones AV/EDR comerciales. Estos frameworks ofrecen técnicas como:

– **Inyección de procesos** (MITRE ATT&CK T1055)
– **Ejecución reflejada en memoria** (T1218)
– **Bypass de UAC** (T1548)
– **Uso de técnicas Living-off-the-Land (LOLBins)**

Los indicadores de compromiso (IoC) identificados incluyen hashes de ejecutables, direcciones IP de C2 en rangos de Europa del Este y servidores de descarga alojados en dominios recientemente registrados y con baja reputación. Se han detectado exploits asociados a vulnerabilidades no parcheadas en navegadores y suites de ofimática, así como el uso de documentos maliciosos con macros para la primera fase de infección.

#### Impacto y Riesgos

Según análisis recientes, entre un 15% y un 20% de los endpoints corporativos en sectores como finanzas, retail y salud han sido objeto de intentos de infección solo durante el primer trimestre de 2024. El robo de credenciales puede desembocar en accesos no autorizados, movimientos laterales y ataques de ransomware posteriores.

El riesgo se multiplica ante la capacidad de los frameworks de evasión para sortear controles de aplicaciones, sandboxes y sistemas de aprendizaje automático de los EDR. Además, la exfiltración de datos personales o estratégicos puede conllevar graves repercusiones legales bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de estas campañas, se recomienda:

– **Actualizar sistemas operativos y aplicaciones** para eliminar vulnerabilidades explotadas en la cadena de infección.
– **Desplegar soluciones EDR con capacidades avanzadas de análisis de comportamiento** y monitorización de memoria, priorizando aquellas que actualicen sus firmas y modelos con frecuencia.
– **Aplicar segmentación de red** y políticas de privilegios mínimos para entornos críticos.
– **Formación continua de usuarios** sobre phishing y técnicas de ingeniería social.
– **Monitorizar IoCs conocidos**, emplear YARA rules para identificar payloads maliciosos y analizar logs en busca de patrones de actividad sospechosa asociados a TTPs descritos en MITRE ATT&CK.

#### Opinión de Expertos

Varios analistas de ciberseguridad, incluyendo miembros de los principales CSIRTs europeos, alertan del creciente acceso de actores criminales a frameworks ofensivos tradicionalmente reservados a red teamers y pentesters. «La frontera entre herramientas legítimas y maliciosas nunca ha sido tan difusa», señala un responsable de Threat Intelligence de una entidad bancaria. Además, subrayan la importancia de adoptar una aproximación proactiva basada en inteligencia de amenazas y detección basada en TTPs, más allá de la simple firma de malware.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus estrategias de defensa, incorporando análisis de memoria, monitorización continua y respuestas automatizadas ante incidentes. La falta de visibilidad sobre actividades evasivas puede exponer a las empresas a brechas masivas, sanciones regulatorias y pérdidas económicas derivadas de la interrupción del negocio o el fraude.

Para los usuarios finales, la recomendación es reforzar la higiene digital, utilizar autenticación multifactor y desconfiar de archivos adjuntos o enlaces sospechosos, incluso si parecen legítimos.

#### Conclusiones

La aparición de campañas que combinan malware avanzado con frameworks de evasión AV/EDR representa una amenaza significativa para el panorama de ciberseguridad actual. La sofisticación de las técnicas empleadas y la rapidez de propagación obligan a los equipos de defensa a mantenerse actualizados y adoptar estrategias multicapa, donde la inteligencia de amenazas y la colaboración sectorial resultan esenciales para anticipar y contener ataques cada vez más complejos.

(Fuente: www.darkreading.com)