Curly COMrades, vinculados a Rusia, implementan el malware MucorAgent en Europa

Un nuevo informe de Bitdefender revela que el grupo de hackers Curly COMrades, vinculado a Rusia, ataca Europa del Este con una nueva puerta trasera llamada MucorAgent. Descubra cómo utilizan tácticas avanzadas para robar datos.

Investigadores de ciberseguridad de Bitdefender han identificado un nuevo grupo de hackers vinculado a Rusia . El grupo, denominado Curly COMrades, ataca activamente a países de Europa del Este que experimentan tensiones geopolíticas.

Según la investigación de Bitdefender, compartida con Hackread.com antes de su publicación, los ataques comenzaron a mediados de 2024. Los objetivos del grupo incluyen organismos gubernamentales y una empresa de distribución de energía en Europa del Este, concretamente en Georgia y Moldavia, donde la tensión geopolítica es alta. El objetivo principal de estos hackers es espiar a sus objetivos y robar información confidencial.

Los Curly COMrades utilizan técnicas avanzadas para mantenerse ocultos y mantener acceso a largo plazo a las redes informáticas de sus víctimas. Una de sus herramientas clave es un nuevo tipo de puerta trasera llamado MucorAgent. Lo que hace que este malware sea particularmente astuto es su forma de permanecer en el ordenador. Los hackers encontraron la manera de secuestrar un componente integrado de Windows llamado NGEN, que normalmente acelera la ejecución de las aplicaciones.

Al explotar una tarea programada inactiva dentro de NGEN, los hackers pueden reactivar su malware en secreto en momentos aleatorios, como cuando el equipo está inactivo o se instala un nuevo programa. Este método impredecible dificulta considerablemente la detección y eliminación de la amenaza por parte de los equipos de seguridad. Los investigadores señalaron que esta técnica, que aprovecha el secuestro de CLSID junto con NGEN, no tiene precedentes según nuestras observaciones.

El grupo también utiliza herramientas proxy especializadas como Resocks y Stunnel, así como otros métodos como Mimikatz y DCSync, para robar contraseñas y otras credenciales. Esta táctica les permite integrarse en la actividad normal de internet, evadiendo numerosos sistemas de seguridad.

Lo que ocurre es que los Curly COMrades acceden a una red informática, establecen una ruta secreta con herramientas como Resocks y Stunnel, e instalan el malware MucorAgent. Este malware engaña a NGEN, secuestrando una tarea oculta y reapareciendo incluso después de su eliminación. Los hackers utilizan sitios web comprometidos como señuelos para enviar la información robada a sus servidores, lo que dificulta su rastreo.

En su informe técnico, Bitdefender explicó que el nombre del grupo, Curly COMrades, proviene del uso intensivo de la herramienta "curl.exe" por parte de los hackers y su enfoque en el secuestro de objetos COM . Los investigadores eligieron el nombre para evitar dar a los actores de amenazas nombres "cool" o "sofisticados", como es tendencia en la comunidad de ciberseguridad, argumentando que esto puede glorificarlos inadvertidamente. Creen que al elegir un nombre menos favorecedor, pueden "desglamorizar el cibercrimen, eliminando cualquier percepción de sofisticación o misterio".