La carga útil es una DLL maliciosa que se instala mediante un binario de Microsoft Edge
Los investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera basada en Rust llamada ChaosBot que puede permitir a los operadores realizar reconocimientos y ejecutar comandos arbitrarios en hosts comprometidos.
"Los actores de amenazas aprovecharon credenciales comprometidas que se asignaban tanto a la VPN de Cisco como a una cuenta de Active Directory con privilegios elevados llamada 'serviceaccount'", declaró eSentire en un informe técnico publicado la semana pasada. "Usando la cuenta comprometida, utilizaron WMI para ejecutar comandos remotos en los sistemas de la red, lo que facilitó la implementación y ejecución de ChaosBot".
La empresa canadiense de ciberseguridad dijo que detectó el malware por primera vez a fines de septiembre de 2025 en el entorno de un cliente de servicios financieros.
ChaosBot es conocido por su uso indebido de Discord para operaciones de comando y control (C2). Recibe su nombre de un perfil de Discord gestionado por el actor de amenazas responsable, conocido en línea como "chaos_00019", responsable de emitir comandos remotos a los dispositivos infectados. Otra cuenta de usuario de Discord asociada con operaciones C2 es lovebb0024.
Como alternativa, también se ha observado que el malware se basa en mensajes de phishing que contienen un archivo de acceso directo de Windows (LNK) malicioso como vector de distribución. Si el destinatario del mensaje abre el archivo LNK, se ejecuta un comando de PowerShell para descargar y ejecutar ChaosBot, mientras que un PDF señuelo disfrazado de correspondencia legítima del Banco Estatal de Vietnam se muestra como mecanismo de distracción.
La carga útil es una DLL maliciosa ("msedge_elf.dll") que se instala mediante el binario de Microsoft Edge llamado "identity_helper.exe", después de lo cual realiza un reconocimiento del sistema y descarga un proxy inverso rápido (FRP) para abrir un proxy inverso en la red y mantener el acceso persistente a la red comprometida.
También se ha descubierto que los actores de amenazas aprovechan el malware para configurar sin éxito un servicio de túnel de Visual Studio Code para que actúe como una puerta trasera adicional para habilitar funciones de ejecución de comandos. Sin embargo, la función principal del malware es interactuar con un canal de Discord creado por el operador con el nombre de la computadora de la víctima para recibir más instrucciones.
Algunos de los comandos compatibles se enumeran a continuación:
• shell: para ejecutar comandos de shell mediante PowerShell
• scr: para realizar capturas de pantalla
• download: para descargar archivos al dispositivo de la víctima
• upload: para subir un archivo al canal de Discord
"Las nuevas variantes de ChaosBot utilizan técnicas de evasión para eludir ETW [Seguimiento de eventos para Windows] y las máquinas virtuales", afirmó eSentire.
"La primera técnica consiste en parchear las primeras instrucciones de ntdll!EtwEventWrite (xor eax, eax -> ret). La segunda técnica compara las direcciones MAC del sistema con los prefijos de direcciones MAC de máquinas virtuales conocidos para VMware y VirtualBox. Si se encuentra una coincidencia, el malware desaparece".
