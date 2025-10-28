Entre agosto y octubre de 2025, IBM X-Force observó varios correos electrónicos dirigidos a personas probablemente colombianas de habla hispana con temas relacionados con la Fiscalía General de Colombia. Los correos electrónicos incitan al usuario a descargar un documento oficial del sistema de información judicial, lo que inicia la cadena de infección al ejecutar un ejecutable HijackLoader que conduce al troyano de acceso remoto PureHVNC (RAT).
Entre agosto y octubre de 2025, X-Force observó varios correos electrónicos dirigidos a usuarios que probablemente residían en Colombia con correos electrónicos que imitaban a la oficina del Fiscal General de Colombia con descargas de documentos oficiales. Los correos electrónicos tienen como objetivo utilizar HijackLoader para entregar varias cargas útiles, incluyendo PureHVNC. HijackLoader en sí no se ha utilizado ampliamente en campañas dirigidas a usuarios dentro de América Latina (LATAM), y anteriormente, no había campañas observables de X-Force en las que se hubiera dirigido a usuarios de LATAM para ofrecer PureHVNC. En 2024, hay detalles del uso de HijackLoader para cargar RemcosRAT en campañas dirigidas a clientes de CrowdStrike, probablemente de países de LATAM (según los nombres de archivo e instrucciones en español). La entrega de PureHVNC RAT es interesante porque X-Force no ha observado previamente ninguna campaña en la que PureHVNC se haya entregado a usuarios de habla hispana. PureHVNC RAT forma parte de un conjunto de herramientas vendidas por PureCoder. Las herramientas maliciosas están a la venta en la dark web en foros clandestinos, así como en Telegram.
A los usuarios se les presenta un correo electrónico que pretende ser una correspondencia oficial relacionada con la Fiscalía General de Colombia. El correo electrónico indica que un antiguo empleado ha presentado una demanda que se está tramitando ante los tribunales laborales. Se adjunta al correo electrónico un archivo SVG, que la víctima abre en Google Drive. En la mayoría de los casos, la vista previa del documento está visible y está lista para descargar haciendo clic en el botón de descarga. En un caso, a la víctima se le presentó un "No se pudo obtener una vista previa del archivo" y un botón de descarga, que abrió el archivo en Google Drive. En cualquier caso, mientras está en Google Drive, al hacer clic en cualquier lugar del documento se descargará un archivo ZIP, y ahora se presenta a la víctima una página de "Descarga completada" que contiene una contraseña como "KC4SX87". El archivo ZIP contiene varios archivos adicionales, uno de los cuales es un archivo ejecutable para el que el usuario necesita la contraseña para ejecutarlo si se hace clic en él. Al hacer clic en el archivo EXE, se inicia la cadena de infección, en la que HijackLoader se utiliza para implementar varias cargas útiles diferentes, incluyendo PureHVNC.
Fase 1 del malware: carga lateral de DLL
HijackLoader utiliza una técnica llamada carga lateral de DLL, que abusa del orden de búsqueda que utiliza Windows para localizar las bibliotecas necesarias para ejecutar una DLL maliciosa. HijackLoader utiliza un archivo javaw.exe legítimo que ha sido renombrado con un nombre de temática judicial (02 BOLETA FISCAL.exe). Dado que una de las dependencias de javaw.exe es JLI.dll, HijackLoader coloca una versión modificada de JLI.dll en el mismo directorio. Cuando se lanza el javaw.exe renombrado, el sistema operativo también carga la DLL maliciosa desde el directorio local.
La función principal del JLI.dll malicioso es cargar la carga útil de la segunda etapa, MSTH7EN.dll. Lo hace llamando a la API LoadLibraryW (), que carga MSTH7EN.dll en el espacio de direcciones del proceso. La llamada a la API devuelve la dirección base de la imagen de la DLL recién cargada. Esta dirección se añade luego a un desplazamiento específico para calcular el punto de entrada del código malicioso en MSTH7EN.dll.
Fase 2 del malware: fase de carga
La carga útil de la segunda etapa comienza con la inicialización. Para evitar la detección, carga y resuelve dinámicamente todas las bibliotecas y API necesarias. Una vez completada, verifica que el directorio de trabajo actual coincida con la ubicación del HijackLoader, lo que garantiza que la carga útil de la tercera etapa pueda ser referenciada y cargada correctamente.
La carga útil de la tercera etapa contiene una configuración cifrada del malware con los siguientes componentes:
Al descifrarse, la configuración del malware contiene información, como la siguiente:
A continuación, el shellcode se carga en vssapi.dll, que es la DLL especificada en la configuración del malware. Esto se hace llamando a VirtualProtect() para cambiar la protección de memoria de la sección .text de la DLL a PAGE_EXECUTE_READWRITE. Por último, el shellcode se copia en esta dirección de escritura y se transfiere a ella el flujo de ejecución.
El shellcode actúa como un cargador, pero primero, procesa los nombres de los procesos en ejecución en el sistema y los compara con los valores especificados en la configuración del malware. Si se encuentra una coincidencia, el malware utiliza la API NtDelayExecution() para frenar su propia ejecución.
A continuación, lee el contenido de Plagkeg.zk. El contenido de este archivo es otra configuración de malware cifrada y los módulos de HijackLoader. Los datos se dividen en varios fragmentos, y el fragmento inicial contiene la siguiente información:
Los siguientes fragmentos siguen esta estructura:
Para ensamblar estos fragmentos, HijackLoader itera a través de los datos cifrados buscando el patrón "????IDAT", donde los signos de interrogación actúan como comodines. Una vez que encuentra una coincidencia, comprueba si los cuatro bytes que siguen inmediatamente al patrón son iguales a 0xC6A579EA. Esto confirma que se ha encontrado el fragmento inicial, que es importante porque contiene el tamaño total del shellcode y la clave de descifrado. Si el valor coincide, HijackLoader almacena los bytes del shellcode en un búfer. El proceso se repite para todos los fragmentos posteriores, y sus bytes de shellcode se añaden al mismo búfer, hasta que no se encuentran más patrones coincidentes.
Una vez hecho esto, el búfer que contiene el shellcode cifrado se descifra utilizando un cifrado XOR y luego se descomprime utilizando el algoritmo LZNT1. El resultado es una estructura que contiene diversa información, como la carga útil final, la estructura del módulo, etc.
Malware etapa 3: ti64 - módulo principal
La funcionalidad de HijackLoader se divide en módulos. Algunos contienen código ejecutable, mientras que otros son simplemente información utilizada como referencia. Un ejemplo de esto es el módulo COPYLIST , que contiene la lista de nombres de archivo relacionados con esta variante de HijackLoader. Según el informe de Trellix, algunas variantes de HijackLoader soportan hasta 40 módulos, pero la muestra analizada para este informe solo soporta 35. No todos los módulos se ejecutan, y su uso depende de las banderas especificadas en la configuración del malware.
La siguiente tabla resume el nombre de cada módulo y su propósito:
HijackLoader recorre estas estructuras y convierte cada nombre de módulo en un hash utilizando un algoritmo personalizado. Una vez que se encuentra la coincidencia para el módulo "ti64", calcula un puntero al código del módulo añadiendo el desplazamiento de los datos a la base de la matriz de datos del módulo. A continuación, este puntero se devuelve y se utiliza como referencia al shellcode de "ti64".
A continuación, el malware realiza otra operación de vaciado de DLL para inyectar el shellcode del módulo "ti64". El objetivo es una DLL especificada en la configuración previamente descifrada, que en este caso es pla.dll.
Nombre del módulo
Hash
Objetivo
AVDATA
0x78B783CA
Contiene hashes de procesos relacionados con productos de seguridad
ESAL
0x757C9405
Limpia los datos en memoria de HijackLoader y ejecuta la carga útil final
ESLDR
0xE7794E15
Se usa para inyectar y ejecutar shellcode relacionado con HijackLoader
ESWR
0x93EB1CB1
Borra los datos de shellcode y ejecuta el módulo rshell
FIXED
0x699D0C82
Archivo PE legítimo utilizado para inyectar código en su proceso
LauncherLdr64
0xF4F141C2
Descifra los archivos de configuración que están almacenados en el disco
modCreateProcess
0x696F778F
Se utiliza para ejecutar un archivo
modTask
0x3115355E
Crea persistencia utilizando tareas programadas
modUAC
0xC64EBFDA
Se utiliza para la escalada de privilegios
modWriteFile
0xFCE82FC1
Maneja la creación de archivos en el disco
rshell
rshell64
0x74984889
Ejecuta la carga útil final
ti
ti64
0x3EE477F1
Sirve como el shellcode principal que ejecuta todos los demás módulos
TinyCallProxy
0x455CBBC3
Actúa como proxy para ejecutar llamadas a la API
tinystub
0x4EACE798
Contiene archivo ejecutable ficticio, que se utiliza para parchear durante el proceso final de ejecución de la carga útil
tinyutilitymodule.dll
0xA1D724FC
Sobrescribe los encabezados PE de un archivo especificado con bytes nulos
SM
0xD8222145
Contiene el nombre de la DLL del sistema utilizada en la suplantación de pilas de llamadas o en la inyección de shellcode
COPYLIST
0x1AE7700A
Una lista de nombres de archivos para copiar o eliminar
CUSTOMINJECT
0x6703F815
Contiene un archivo ejecutable legítimo que se utiliza para inyectar código en su memoria de proceso. El proceso se crea en una ruta personalizada especificada por el módulo CUSTOMINJECTPATH
CUSTOMINJECTPATH
0x192A4446
Contiene una ruta de archivo utilizada para crear el archivo legítimo en el módulo CUSTOMINJECT
X64L
0xCB5B9F3F
Módulo que se inyecta en un proceso para que sirva de proxy de inyección
WDUACDATA
0x4D75088D
Contiene la cadena utilizada para ejecutar comandos a través de cmd
WDDATA
0xB718A6AE
Contiene un comando de PowerShell para añadir una exclusión de Windows Defender Antivirus
PERSDATA
0xA2E0AB5D
Contiene la configuración utilizada por el módulo modTask para crear tareas programadas
MUTEX
0x1999709F
Contiene el nombre de mutex para comprobar
El módulo modUAC, similar a los demás, utiliza TinycallProxy para llamar a las API. Si el primer DWORD del módulo UACDATA es 2, utiliza las "runas" para elevar su privilegio. De lo contrario, utiliza la interfaz COM CMSTPLUA para omitir UAC.
En algunas variantes, HijackLoader utiliza una técnica llamada"suplantación de pila" para enmascarar el origen de las llamadas a la API y al sistema. Para ello, utiliza el registro de puntero base (EBP) para navegar por la pila, siguiendo la cadena de punteros EBP para recuperar la dirección de retorno de cada marco de pila. Si una dirección de remitente no está dentro de la sección .text de ntdll.dll o kernelbase.dll, HijackLoader la almacena para más adelante. Este proceso se repite hasta que se alcanza el límite de pila o hasta que se encuentran tres direcciones de retorno consecutivas dentro de esas bibliotecas del sistema.
A continuación, realiza una suplantación de la pila de llamadas sobrescribiendo las direcciones de retorno legítimas guardadas con direcciones falsas. Cada dirección falsa se genera seleccionando una exportación aleatoria de una DLL especificada por el módulo SM (en este caso, dcd9.dll) y añadiendo un desplazamiento aleatorio, asegurando que el puntero final aterrice dentro de la sección .text de ese módulo. A continuación, se utiliza Heaven's Gate para realizar la llamada al sistema. Inmediatamente después de que se complete la llamada, se restauran las direcciones de la pila originales.
Sin embargo, las variantes más recientes utilizan una técnica diferente. En lugar de suplantar la pila, HijackLoader carga la DLL de destino especificada por el módulo SM mediante LoadLibraryW(). A continuación, guarda el código de un desplazamiento aleatorio dentro de esa DLL en un búfer temporal y lo sustituye por el shellcode del módulo TinyCallProxy64, que está diseñado para llamar a la API especificada. Una vez finalizada la llamada, se restaura el código original y limpio.
HijackLoader utiliza estas técnicas para un número selecto de funciones que es probable que sean monitorizadas por el software audiovisual, como ZWProtectVirtualMemory y ZwGetContextThread.
Técnica
Descripción
Comprobación antidepuración basada en el tiempo
Utiliza una técnica de evasión basada en el tiempo midiendo la latencia de la instrucción cpuid. Envuelve la llamada cpuid con instrucciones rdtsc dentro de un bucle y, si el tiempo de ejecución supera un umbral especificado, detecta la presencia de un depurador o máquina virtual.
Comprobación de hipervisor
Realiza una comprobación anti-VM estándar ejecutando la instrucción cpuid y comprobando el "bit de hipervisor" (bit 31) en el registro ECX devuelto. Si este bit se establece en 1, indica la presencia de un hipervisor.
Comprobación de ID de proveedor
Realiza una comprobación anti-VM consultando la hoja de información del hipervisor (0x40000000). Un valor de retorno en EAX que sea mayor o igual a 0x40000000 indica la presencia de hojas CPUID activas específicas del hipervisor.
Comprueba el total de RAM
Realiza una comprobación contra entorno aislado consultando la RAM física total. Llama a NtQuerySystemInformation para calcular la memoria total en gigabytes (desplazando a la derecha el recuento de bytes en 30) y termina si el resultado es inferior a 4 GB.
Comprueba el número de procesadores
Realiza una comprobación anti-entorno aislado consultando el número de núcleos de la CPU. Llama a NtQuerySystemInformation para obtener el NumberOfProcessors y lo compara con el valor especificado en la configuración del módulo ANTIVM.
Comprobación de nombres de usuario
Compara el nombre de usuario del usuario actual con el valor especificado en el módulo ANTIVM.
Comprobación del nombre del ordenador
Comprueba si el nombre del ordenador se compone únicamente de números.
Comprueba el directorio de trabajo actual
Comprueba si la ruta actual del módulo está en el escritorio.
Una comprobación de anti-virtualización fallida da como resultado la terminación del proceso a través de una llamada a ZwTerminateProcess().
La rutina de desenganche compara la sección .text del ntdll.dll cargado actualmente contra una copia limpia y mapeada. Escanea instrucciones de llamada (0xE8) y jmp (0xE9) y detecta un hook si el tipo de instrucción o la dirección de destino difiere entre ambas versiones. Si se encuentra un hook, el malware parchea el ntdll.dll en memoria restaurando los bytes originales y limpios.
El mecanismo de persistencia de HijackLoader también está controlado por su configuración. El comportamiento viene dictado por una bandera:
Además de estas banderas, HijackLoader puede crear otro mecanismo de persistencia comprobando la presencia de un módulo PERSDATA . Este módulo contiene los datos de configuración necesarios, como el nombre de la tarea, para crear una segunda tarea programada.
Tipo de inyección
Descripción
Si el archivo a inyectar es una DLL o las banderas de inyección son inferiores a 0x3
la carga final se ejecutará en el mismo proceso, por lo que la carga útil de la DLL se mapeará en la DLL vacía.
Si la carga útil final no es un archivo .NET/CLR, los indicadores de inyección 0x20 son falsos y 0x80 son verdaderos
Oculta la carga útil rshell en un PE tinystub ficticio utilizando una transacción NTFS revertida. A continuación, mapea este PE oculto en un proceso suspendido(FIXED), donde el módulo ESWR secuestra el contexto del hilo principal para ejecutar el código rshell.
Si la carga útil final no es un archivo .NET/CLR, los indicadores de inyección 0x20 y 0x80 son ambos falsos
El módulo FIXED se coloca en el disco y se crea como un proceso suspendido. El módulo ESWR se utiliza entonces para desencadenar la ejecución de la carga útil rshell dentro del proceso FIXED.
Los indicadores de inyección 0x100 están configurados en verdadero y 0x20 en falso
Inyecta rshell en un ejecutable legítimo del sistema suspendido (por ejemplo, MSBuild.exe) localizado analizando la cabecera .NET para la ruta CLR. La carga útil se parchea en memoria antes de ejecutarse mediante el secuestro de contexto de subprocesos y borra sus propios encabezados PE.
Los indicadores de inyección 0x4 y 0x80 son ciertos.
Arroja condicionalmente el módulo FIXED , y luego almacena la carga útil rshell en un archivo transaccionado rolled-back (tinystub). Inyecta esto en el proceso FIXED suspendido a través de la asignación de secciones. La ejecución se desencadena mediante el secuestro del contexto del hilo y, opcionalmente, borra su encabezado PE.
Los indicadores de inyección 0x4 son verdaderos y 0x80 son falsos.
HijackLoader inicia un proceso suspendido, crea y asigna una nueva sección de memoria directamente dentro de él y, a continuación, escribe el módulo rshell parcheado en esta sección. La ejecución se desencadena secuestrando el contexto del subproceso principal para ejecutar el código rshell.
Los indicadores de inyección 0x4 son falsos y 0x10 son verdaderos.
Realiza Process Hollowing iniciando su módulo FIXED, borrando su sección de memoria principal y luego copiando la carga útil. Escribe el encabezado “MZ” en dos llamadas separadas. Por último, inyecta el módulo rshell parcheado, modifica el PEB y, opcionalmente, borra el encabezado PE de la carga útil.
El tipo de inyección se establece en 4
Inyecta la carga útil principal y el módulo rshell a través de la asignación de secciones. Se crea una sección y se rellena localmente con el rshell parcheado y la carga útil, y luego se asigna a un proceso de destino suspendido (un módulo binario nativo del sistema o CUSTOMINJECT). La ejecución se desencadena secuestrando el contexto del hilo principal para apuntar al punto de entrada de rshell.
Los usuarios de las regiones de LATAM son cada vez más el blanco de correos electrónicos que se hacen pasar por entidades de gobierno o judiciales, con temas que a menudo crean una sensación de urgencia. X-Force observa campañas que habitualmente implican un enlace incrustado o archivos adjuntos ZIP que llevan a las víctimas a descargadores maliciosos. Entre agosto y octubre de 2025, X-Force observó varios correos electrónicos dirigidos a usuarios que probablemente residían en Colombia con correos electrónicos que imitaban a la oficina del Fiscal General de Colombia con descargas de documentos oficiales. HijackLoader es un malware modular con mecanismos de evasión y persistencia, que se entrega principalmente a los usuarios como archivo comprimido ZIP o RAR. Los archivos contienen una DLL malintencionada que se descarga de forma lateral y se utiliza para entregar cargas útiles adicionales. Estos correos electrónicos, probablemente parte de una sola campaña, son significativos porque los actores utilizan el HijackLoader para entregar PureHVNC RAT, una combinación no observada anteriormente por X-Force.
Indicador
Tipo de indicador
Contexto
troquelesmyj[@]gmail.com
Correo electrónico
Correo electrónico del remitente
nuevos777[.]duckdns[.]org
Dominio
Dominio C2
7octubredc[.]duckdns[.]org
Dominio
Dominio C2
dckis13[.]duckdns[.]org
Dominio
Dominio C2
dckis7[.]duckdns[.]org
Dominio
Dominio C2
enviopago[.]mysynology[.]net
Dominio
Dominio C2
maximo26[.]duckdns[.]org
Dominio
Dominio C2
sofiavergara[.]duckdns[.]org
Dominio
Dominio C2
hxxps[:]//drive[.]google[.]com
URL
Host SVG
hxxps[:]//drive[.]google[.]com/
URL
Host SVG
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
HijackLoader
57c49cff3e71bc75641c78a5a72d
SHA256
HijackLoader
7c3d9ad3f1bd890e3552dc6709
SHA256
HijackLoader
ce42377d3d26853fd1718f69341
SHA256
HijackLoader
a0e4979b4e4a706286438d48f
SHA256
HijackLoader
6d93a486e077858b75eb814e
SHA256
HijackLoader
bdca9849d7263d508b7ed4db
SHA256
HijackLoader
1ae61edf35127264d329b7c0e2
SHA256
HijackLoader
2ec31a8a36d73fa8354a7ac0c
SHA256
HijackLoader
776bbaa44c7788e0ccd5945
SHA256
HijackLoader
9e9997b54da0c633ffcf0a4fb
SHA256
HijackLoader
b2f733b67f1ef06d9e5ce76d3
SHA256
HijackLoader
c93e70d20ba2948a6a8a013
SHA256
HijackLoader
d550a2a327394148c0c3d05
SHA256
HijackLoader
e668ca17fcdfa818aac35f1206
SHA256
HijackLoader
fe6d0ee45a70359008b2916
SHA256
HijackLoader
977f2f18ff13c93406c5702f83
SHA256
HijackLoader
768ca38878c5bb15650343ce
SHA256
HijackLoader
47245b7d2d8cb6b92308deb
SHA256
HijackLoader
4484b0ac51536890301a0e6
SHA256
HijackLoader
0113d9f3d93069a29458b3b4
SHA256
HijackLoader
22d474e729d600dcd84ce139
SHA256
HijackLoader
2cbfc482e27a2240a48d2fb6f
SHA256
HijackLoader
96ee786c5b6167c0f0f770efba
SHA256
HijackLoader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
