Etiquetas
Seguridad

Hive0156 continúa las campañas de Remcos contra Ucrania

Dos hombres trabajando con computadoras en una sala de servidores

Autores

Joe Fasulo

Cyber Threat Researcher - IBM X-Force

Aaron Gdanski

Security Consultant, X-Force

A principios de julio de 2025, IBM X-Force comenzó a monitorear las campañas activas del troyano de acceso remoto (RAT) Hive0156 Remcos dirigidas a víctimas en Ucrania. Hive0156 es un actor de amenazas alineado con Rusia que busca comprometer a personas dentro del gobierno o el ejército ucraniano. Las herramientas, tácticas y procedimientos (TTP) del grupo se superponen fuertemente con el actor UAC-0184 de CERT-UA. Hive0156 entrega archivos Microsoft LNK y PowerShell armados, lo que lleva a la descarga y ejecución de Remcos RAT. X-Force observó documentos señuelo clave con temas que sugieren un enfoque en el ejército ucraniano y evolucionan hacia una audiencia potencial más amplia.

Hallazgos clave: 

  • Hive0156 continúa entregando Remcos RAT por toda Ucrania
  • Los temas de los documentos señuelo son muy relevantes para el personal militar de Ucrania
  • El acceso a la infraestructura ucraniana sigue siendo una prioridad clave para los actores alineados con Rusia

Análisis

Hive0156 es un actor de amenazas alineado con Rusia que emplea principalmente malware y documentos señuelo para orquestar campañas cibernéticas maliciosas en Ucrania. A lo largo de 2024, Hive0156 se dirigió a chats y personal de señales militares ucranianos mediante la entrega de archivos LNK maliciosos o scripts de PowerShell, lo que provocó infecciones de Remcos. El grupo utiliza temas de documentos señuelo muy relevantes para el personal preocupado por la postura operativa del ejército ucraniano.

Temas antes de mediados de 2025

Hasta mediados de 2025, el uso generalizado de Hive0156 de temas militares relevantes para documentos señuelo sugiere un interés prioritario en atacar a miembros del ejército ucraniano. Los documentos falsos utilizados en las campañas suelen ser archivos corruptos o basura, pero revelan los temas seleccionados por el grupo para atraer la participación de las víctimas. Los nombres de archivo a menudo se encuentran en formas transliteradas de ruso o ucraniano. A continuación, se destacan los documentos utilizados por Hive0156 en sus operaciones antes de mediados de 2025.

Pérdidas durante la guerra

captura de pantalla de la miniatura de uzagalnena_informacia_spisan_vtrat_33_ombre_100103.xlsx uzagalnena_informacia_spisan_vtrat_33_ombr_100103.xlsx

La 33.ª Mecanizada es una brigada de las Fuerzas Terrestres de Ucrania. A finales de 2024, la 33.ª participó en operaciones de combate en Kurakhove y más tarde en las líneas del frente de Heorhiivka y Vuhledar. El señuelo es un documento de Excel funcional no autenticado con varias métricas que generalmente comunican los niveles de varios recursos.

captura de pantalla del documento ucraniano utilizado por Hive0156
Figura 1: Documento ucraniano utilizado por Hive0156

Verificación de preparación del batallón

captura de pantalla de la miniatura de Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx

Nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024.docx puede referirse a una orden de preparación y posiblemente estar relacionada con la 33.a Brigada Mecanizada. El nombre del archivo se refiere a la preparación del primer batallón mecanizado, un batallón oficial dentro de la 33.a.

En junio de 2024, CERT-UA informó que UAC-0184 entregó archivos maliciosos con la característica de la 3.a Brigada de Asalto Separada de Ucrania, lo que condujo a cadenas de ataque similares.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Cálculo de la distribución del personal

captura de pantalla de la miniatura de Rozrahunok_rozpodyl_operatyvnogo_skladu.doc

Según la traducción automática, Rozrahunok_rozpodyl_operatyvnogo_skladu.doc se refiere a la distribución del personal operativo. Dada la recurrencia de los temas bélicos, es probable que esto se refiera al número de tropas.

Posibles ubicaciones enemigas

captura de pantalla de la miniatura de Pozicii_protivnika_zapad_i_yugo_zapad.xlsx

Pozicii_protivnika_zapad_i_yugo_zapad.xlsx está traducido del ruso y es un documento funcional de Excel. El archivo contiene coordenadas correspondientes a la provincia de Zanjan, en Irán. Tras la inspección de las coordenadas, las ubicaciones parecen consistir principalmente en tierras de cultivo cerca de fuentes de riego, como el río Tikmeh Dash.

Archivo de Excel con asignación de coordenadas al norte de Irán
Figura 2: Archivo de Excel con asignación de coordenadas al norte de Irán
Ubicación general de las coordenadas en el documento señuelo
Figura 3: Ubicación general de las coordenadas en el documento señuelo

Temas de mediados de 2025

A mediados de 2025, X-Force está observando documentos señuelo transliterados en ucraniano que presentan temas relacionados con “peticiones”, “cartas de presentación oficiales” o “rechazos formales”. Esta es una desviación del énfasis del grupo en temas militares para una audiencia más general. Los documentos señuelo observados después de mediados de 2025 generalmente están dañados o llenos de datos basura.

Cadena de ataques

A principios de julio de 2025, el grupo continúa entregando Remcos como su carga útil final principal y ha simplificado su entrega desde 2024. Las campañas recientes de Hive0156 comienzan con un archivo LNK o PowerShell de primera etapa armado. Tras la ejecución, la primera etapa intenta ponerse en contacto con la infraestructura de mando y control (C2) del actor para recuperar el documento señuelo y el archivo zip de archivos maliciosos. La comunicación con el servidor C2 se filtra por región geográfica y un agente de usuario esperado. Tras una recuperación exitosa, el documento señuelo se presenta al usuario, pero a menudo está dañado. En segundo plano, una instancia de Hijackloader (también conocida como IDAT Loader) se ejecuta y entrega Remcos RAT.

Ejemplo de una cadena de ataque Hive0156
Figura 4: Cadena de ataque Hive0156

Detalles de la primera etapa

En campañas recientes, Hive0156 alterna sus infecciones de primera etapa entre archivos maliciosos LNK o PowerShell. La funcionalidad de ambos tipos es equivalente. La ejecución de la primera etapa es crítica para la entrega del grupo de su malware de cargador, que se descarga en un archivo zip.  Ambos tipos de primera etapa ejecutan una cadena de infección HijackLoader en segundo plano mientras presentan al usuario un documento señuelo.

Una diferencia clave entre las campañas de estilo LNK y PowerShell es la entrega del documento señuelo. En las campañas basadas en LNK, se inician dos solicitudes C2 separadas para descargar el documento señuelo y el archivo ZIP de HijackLoader. En las campañas basadas en PowerShell, se inicia una llamada para descargar el archivo ZIP de HijackLoader que contiene el documento señuelo. Esta distinción puede ayudar a los defensores de la red a identificar el tipo de infección de primera etapa encontrada.

Detalles de HijackLoader (también conocido como IDAT Loader)

La ejecución de HijackLoader sirve como mecanismo de entrega del grupo para Remcos. También conocido como IDAT Loader, HijackLoader hace referencia a archivos de datos ubicados dentro del zip de la primera etapa para desentrañar la carga útil final: Remcos.

El actor de amenazas empaqueta HijackLoader dentro de un archivo ZIP. Los archivos ZIP de HijackLoader contienen múltiples componentes, todos necesarios para continuar la cadena de infección.

ejemplo de HijackLoader Los archivos ZIP contienen múltiples componentes, todos necesarios para continuar la cadena de infección

Los siguientes componentes suelen estar presentes en un archivo ZIP de HijackLoader:

  • Un ejecutable legítimo que suele estar firmado por un certificado válido. (En este caso, PortRemo.exe)
  • Se requieren archivos DLL legítimos para ejecutar el ejecutable legítimo. (En este caso, Tools.dll)
  • Un archivo DLL parcheado que contiene código que carga etapas adicionales de HijackLoader. (En este caso, sqlite3.dll)
  • Un archivo PNG que contiene los módulos cifrados y la carga útil final para HijackLoader. El archivo PNG suele tener un nombre aleatorio. (En este caso, Churtseechang.vky)
  • Un archivo que contiene shellcode cifrado, que también tiene un nombre aleatorio. (En este caso, Weertijeegdoob.jm)

En este ejemplo, los archivos relacionados con HijackLoader se empaquetaron en un archivo ZIP llamado premo.zip.  El archivo ejecutable legítimo PortRemo.exe se ejecuta mediante el archivo LNK inicial, que cargará el archivo DLL sqlite3.dll parcheado y malicioso.

La siguiente imagen muestra la tabla de importación para PortRemo.exe.  En algún momento durante la ejecución, se llamará a una de estas funciones y, finalmente, conducirá al código malicioso dentro de sqlite3.dll.

captura de pantalla de la tabla de importación para PortRemo.exe

En este ejemplo, sqlite3_result_text16() es la función maliciosa. HijackLoader utilizará la tabla de exportación para evitar que IDA analice correctamente el archivo.

ejemplo que muestra sqlite3_result_text16() como la función maliciosa

La DLL parcheada leerá y descifrará el shellcode de primera etapa para HijackLoader. El shellcode descifrado descifrará el archivo PNG que contiene los componentes de HijackLoader. HijackLoader utiliza varios módulos para mejorar la funcionalidad.

La siguiente tabla enumera los módulos conocidos, así como su funcionalidad:

Nombre

Funcionalidad

AVDATA

Módulo de lista de bloqueo, que comprueba los nombres de procesos que se sabe que están relacionados con el software de seguridad.

ESAL

Ejecuta la carga útil final.

ESLDR

Se utiliza para inyectar y ejecutar shellcode relacionado con HijackLoader.

ESWR

Elimina el shellcode de la memoria y ejecuta el módulo "rshell".

FIXED

Un archivo ejecutable legítimo que se utiliza para la inyección de procesos.

LaunchLdr

Descifra el archivo PNG de HijackLoader para extraer todos los módulos.

rshell

Configura la carga útil final en la memoria y la ejecuta.

ti

Realiza la inyección de código posterior a la primera etapa.

tinystub

Un archivo PE vacío que se utiliza para parchear e inyectar.

tinyutilitymodule

Sobrescribe los encabezados PE de archivos especificados con bytes nulos.

Una vez que se completen todos los módulos, HijackLoader inyectará su carga útil final en un proceso remoto.

Detalles de Remcos

El análisis de X-Force de la configuración de Remcos de Hive0156 parece ser escaso en cuanto a la funcionalidad habilitada. No obstante, esto no indica una disminución de la amenaza. La versión de Hive0156 de Remcos está configurada principalmente para establecer comunicación con la infraestructura C2 del grupo y esperar periódicamente nuevos comandos. El grupo parece operar varias campañas en paralelo y mantiene un uso diligente de la característica de ID de campaña de Remcos. A lo largo de 2025, X-Force observó los identificadores de campaña hmu2005, gu2005, ra2005 y  ra2005new asociados al grupo.

Remcos es una herramienta de administración remota desarrollada por Breaking-Security.  Los detalles sobre sus características se pueden encontrar aquí.

Al ejecutarse, Remcos cargará su configuración desde un blob dentro de sus recursos. Una vez completado, Remcos analizará su configuración, lo que determina qué acciones tomará durante la ejecución.

Remcos acepta los siguientes parámetros de configuración:

ID de configuración

Función

0x0

Contiene direcciones C2.

0x1

Contiene un identificador para la campaña.

0x2

Determina con qué frecuencia los Remcos deben conectarse a C2.

0x3

Instale Remcos una vez ejecutado.  La instalación incluye trasladarlo a una ubicación especial.

0x4

0x5

Habilita la persistencia mediante HKLM y HKCU Software\Microsoft\Windows\CurrentVersion\Run

0x7

Tamaño máximo de archivo para los datos del keylogger antes de rotarlos.

0x8

Habilita la persistencia mediante la clave de registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.

0x9

Directorio para colocar Remcos durante la instalación.

0xA

Nombre del archivo al que se moverá Remcos durante la instalación.

0xC

Habilita el atributo de archivo oculto y establezca los archivos asociados como de solo lectura.

0xE

Un nombre mutex.

0xF

Determina si el keylogger está deshabilitado, completamente habilitado o habilitado solo para ciertas ventanas.

0x10

Se usa para determinar dónde se almacenan los keylogs.

0x11

Se usa para determinar el nombre del archivo de los keylogs.

0x12

Controla el cifrado RC4 para los registros de teclas.

0x13

Controles ocultos para los archivos del keylogger.

0x14

Activa o desactiva la función de grabación de pantalla.

0x15

Intervalo en minutos para capturar cada captura de pantalla.

0x16

Solo graba capturas de pantalla para nombres de ventanas específicos si está habilitado.

0x17

Nombres de ventanas para la opción anterior.

0x18

Intervalo de tiempo asociado con la toma de capturas de pantalla de ventanas específicas.

0x19

Directorio principal para almacenar capturas de pantalla.

0x23

Habilita o deshabilita la grabación de audio.

0x24

Duración en segundos de cada grabación de audio.

0x25

Directorio principal para almacenar grabaciones de audio.

0x26

Nombre de la carpeta en la que se almacenarán las grabaciones de audio.

0x27

Deshabilita UAC en el registro si está habilitado.

0x28

Modo de registro.  Se usa para activar o desactivar la ventana de consola.

0x29

Retraso en segundos para el primer intento de conexión C2.

0x2A

Nombres específicos de ventanas para la funcionalidad de keyloging.

0x2B

Habilita la limpieza del navegador web al iniciarse. Remcos es capaz de eliminar todas las cookies e inicios de sesión de Explorer, Chrome y Firefox según las instrucciones de la configuración. El propósito de esta característica es obstaculizar a los ladrones de información, y es probable que tenga poco uso para un atacante malintencionado.

0x2C

Habilita la limpieza del navegador web solo en la primera ejecución.

0x2D

Tiempo de reposo en minutos antes de borrar los navegadores web.

0x2E

Activa o desactiva la funcionalidad de bypass UAC.

0x30

Directorio para instalar Remcos.

0x31

Directorio para almacenar keylogs.

0x32

Habilitar la capacidad de vigilancia. Remcos se inyectará en un segundo proceso y monitoreará su propio proceso original. La función principal es reiniciar el ejecutable principal si se termina.

0x34

Número de licencia de Remcos.

0x35

Habilita la visualización del puntero del mouse en cada captura de pantalla tomada.

0x36

Certificado TLS utilizado para la comunicación C2.

0x37

Clave TLS utilizada para la comunicación C2.

0x38

Certificado público TLS para el C2.

Los indicadores de configuración se utilizan para determinar si Remcos debe habilitar ciertas características. Una vez que Remcos analice su configuración, comenzará a ponerse en contacto con los servidores C2. Remcos puede aceptar comandos adicionales de su servidor C2, incluidos los siguientes:

ID de comando

Funcionalidad

0x1

Un comando de ping.

0x2

Desactiva el envío de paquetes de mantenimiento de conexión.

0x3

Enumera las aplicaciones instaladas.

0x6

Enumera los procesos en ejecución.

0x7

Termina un proceso.

0x9

Cierra una ventana.

0xA

Muestra una ventana maximizada.

0xB

Muestra una ventana.

0xC

Finaliza un proceso por identificador de ventana.

0xD

Ejecuta un comando de shell.

0xE

Inicia un shell canalizado.

0xF

Ejecuta un programa.

0x10

Sube capturas de pantalla al servidor C2.

0x11

Obtiene la ubicación IP global del host.

0x12

Obtiene información de la funcionalidad del keylogger sin conexión.

0x13

Inicia el keylogger en modo en línea.

0x14

Detiene el keylogger cuando se inicia en modo en línea.

0x15

Sube los datos del keylogger al C2.

0x16

Sube los datos del keylogger al C2.

0x17

Elimina los datos del keylogger.

0x18

Borra las cookies del navegador y los accesos de sesión.

0x1B

Inicia el módulo de grabación de la cámara web.

0x1C

Detiene el módulo de grabación de la cámara web.

0x1D

Activa el módulo de grabación de micrófono.

0x1E

Deshabilita el módulo de grabación del micrófono.

0x1F

Intenta robar credenciales de varios programas. Emplea las utilidades de recuperación de contraseñas de Nirsoft: https://www.nirsoft.net/ (Enlace externo a ibm.com).  

0x20

Elimina un archivo o carpeta.

0x21

Finaliza su propio proceso y el proceso del organismo de control.

0x22

Desinstala Remcos del sistema.

0x23

Reinicia la computadora.

0x24

Actualiza Remcos desde una URL proporcionada.

0x25

Actualiza Remcos utilizando el servidor C2.

0x26

Muestra un cuadro de mensaje.

0x27

Provoca un apagado o hibernación del sistema.

0x28

Sube los datos del portapapeles al servidor C2.

0x29

Establece el portapapeles en datos definidos por C2.

0x2A

Limpia el portapapeles.

0x2B

Carga y ejecuta un DLL desde el C2.

0x2C

Carga y ejecuta un DLL desde una URL proporcionada.

0x2F

Edita el registro en función de los valores proporcionados por C2.

0x30

Parece permitir al atacante chatear con la víctima.

0x31

Establece el identificador de nombre de Remcos.

0x32

Permite el uso y gestión de proxies.

0x34

Permite a Remcos gestionar los servicios del sistema.

0x8F

Busca un archivo en el sistema.

0x92

Establece el fondo de pantalla del sistema.

0x94

Establece el texto de una ventana y enumera los procesos activos con ventanas mediante EnumWindows().

0x97

Carga los resultados del comando "dxdiag" en el servidor C2.

0x98

Permite a Remcos gestionar archivos a través de acciones como copiar, mover y eliminar.

0x99

Carga datos de captura de pantalla en C2.

0x9A

Vuelca el historial del navegador web mediante ejecutables de Nirsoft.

0x9E

Reproduce un archivo de audio "alarm.wav".  Este archivo se obtiene del servidor C2.

0x9F

Permite reproducir "alarm.wav" en la desconexión de C2.

0xA0

Deshabilita la reproducción de "alarm.wav" en la desconexión de C2.

0xA2

Descarga "alarm.wav" desde el servidor C2.

0xA3

Reproduce un archivo de audio.

0xAB

Eleva un proceso.

0xAC

Activa la ventana de la consola de registro.

0xAD

Muestra la ventana de la consola de registro.

0xAE

Oculta la ventana de la consola de registro.

0xB2

Inyecta un ejecutable en un nuevo proceso y lo ejecuta.

0xC5

Establece un valor de registro.

0xC6

Carga cookies y contraseñas del navegador al C2.

0xC8

Suspende un proceso.

0xC9

Reanuda un proceso.

0xCA

Lee un archivo y envía el contenido al servidor C2.

0xCB

Escribe contenido proporcionado por C2 en un archivo.

0xCC

Inicia el keylogger en modo fuera de línea.

0xCD

Detiene el keylogger cuando se inicia en modo fuera de línea.

0xCE

Enumera las tablas TCP y UDP de un proceso.

Como se mostró anteriormente, Remcos cuenta con una amplia variedad de capacidades, incluyendo administración remota, ejecución de cargas útiles, vigilancia, persistencia y robo de información. Remcos puede ser utilizado por administradores de sistemas legítimos; sin embargo, también es muy utilizado por varios actores de amenazas maliciosos. Las acciones realizadas por Remcos en un sistema están impulsadas principalmente por la comunicación con su servidor C2. Remcos incluye un panel GUI para permitir a los atacantes gestionar fácilmente múltiples víctimas dentro de una única interfaz. La interfaz GUI permite crear tareas automatizadas, así como interactuar manualmente con el implante Remcos en un sistema víctima.

Infraestructura y operaciones

Hive0156 opera una red de servidores C2 en todo el mundo y probablemente se beneficie de la indiferencia del proveedor de alojamiento ruso hacia las operaciones del grupo. X-Force descubrió que el grupo emplea geofencing hasta al menos Ucrania y solicita el filtrado de encabezados como parte de sus operaciones de preparación. Hive0156 despliega Remcos con característica limitadas habilitadas, pero actualiza continuamente su configuración desde su C2. Esto puede indicar una priorización del acceso inactivo y la habilitación selectiva de la recopilación en nuevas iniciativas. El mantenimiento de una conectividad sin obstrucciones entre las infecciones de Remcos y la infraestructura C2 del grupo es primordial para continuar el acceso de las víctimas.

Conclusión:

Hive0156 continúa realizando operaciones cibernéticas maliciosas contra Ucrania. X-Force evalúa que el grupo continúa atacando al personal militar ucraniano, pero está evolucionando sus documentos de señuelo a temas más generales, lo que sugiere un grupo de víctimas más amplio. Las organizaciones y el personal que pertenecen o están asociados al ejército ucraniano corren un mayor riesgo de ser víctimas de Hive0156.

Recomendaciones:

X-Force recomienda las siguientes acciones para mitigar la actividad de Hive0156:

  1. Capacitación y concientización de los usuarios: recomiende a los usuarios ser cautelosos al abrir correos electrónicos o chats de mensajería, especialmente aquellos que contienen archivos adjuntos, o al hacer clic en enlaces. Indíqueles que verifiquen la identidad del remitente y las extensiones de archivo antes de abrir cualquier archivo.
  2. Protección de endpoint: despliegue un software de protección de endpoint actualizado que pueda detectar y bloquear cepas de malware conocidas, como Remcos, junto con comportamientos sospechosos. Actualice periódicamente las firmas de malware y los patrones de comportamiento.
  3. Segmentación de red: segmente su red para restringir el movimiento lateral en caso de una filtración. Esto limita el daño potencial de una infección exitosa.
  4. Bloqueo geográfico: implemente reglas de bloqueo geográfico para impedir las conexiones a servidores C2 maliciosos conocidos, en particular los vinculados a Hive0156.
  5. Monitoreo y análisis: monitoree y analice regularmente el tráfico de red en busca de actividades inusuales o conexiones a IP maliciosas conocidas. Utilice soluciones que proporcionen análisis de comportamiento y detección de anomalías.
  6. Gestión de parches: asegúrese de que todos los sistemas y aplicaciones estén actualizados con los últimos parches. Muchos exploits utilizados por los actores de amenazas aprovechan vulnerabilidades conocidas que han sido parcheadas.
  7. Plan de respuesta a incidentes: desarrolle y actualice periódicamente un plan de respuesta a incidentes. Esto garantiza que, si se produce una infracción, pueda responder de forma rápida y eficaz.
  8. Uso de herramientas de seguridad: emplee herramientas de seguridad que puedan detectar y bloquear scripts maliciosos de PowerShell y archivos LNK, ya que estos son mecanismos comunes de entrega inicial para Hive0156.

Indicadores de compromiso

Indicador

Tipo de indicador

Contexto

5.101.83[.]18

Dirección IP

C2

5.101.83[.]19

Dirección IP

C2

5.101.82[.]52

Dirección IP

C2

146.185.239[.]11

Dirección IP

C2

146.185.239[.]12

Dirección IP

C2

5.101.80[.]15

Dirección IP

C2

6637405265adc8b
bad328baacb7e67c51 bad328baacb7e67c51
7324d7ca3ab54d9749
8d8038e2a87f8

SHA256

LNK malicioso

46d633c2937eeca2
748435e51558898f8
4cf36fe75f841b35d6
f655082a7cce0

SHA256

LNK malicioso

14515e5498d3d3219e
6f06594aafbf449fc13
ae419d14a6676e449e
e3a107746

SHA256

LNK malicioso

37d2f3d3af2d564d6f9
ccf921cb4adc5390076
087342bf3f7d9f00b37
abbbf0d

SHA256

LNK malicioso

842d1e27d919a0ef568
c6de5a0dae5373ec5cf
02341307af9bab05fb4f
5b0805

SHA256

LNK malicioso

ccf6d3eaea549b8f1f02
5c27d8cec1a78d375c0
40d50745f5f9a837e50
0a83d6

SHA256

LNK malicioso

63e9fa71789996cf52b
431003f8b34275a9980
286a3fba156aeb6802d
f3b1ec1

SHA256

LNK malicioso

1f157d473ccfe51a22a0
bcaae84489dca2e16e
68645041ae761e2aa11
878f326

SHA256

LNK malicioso

002e2e591f324ebdfa2
abb443e03906595310
711436f62ed988e12ead
a3e35bb

SHA256

LNK malicioso

c38beb137b130c00b6
8b0bd620c603d360e
235954362ba8b1435d4
df4ff36ca6

SHA256

LNK malicioso

6cd56f7f1f8c7c422c672
7d323dac79092a82d3e
a0ba150525797f24688
d888a

SHA256

LNK malicioso

44448993bbe5931c62
f328d3cf75d5e791787c
8d35db79718a661504d
db3c5fb

SHA256

LNK malicioso

d9d26d19da539b0adc
8f0a4ab65d6b766d3f6
bec0e266baa6fd04c42
4ce77c9b

SHA256

LNK malicioso

7efbfd633d469405c66
c44226e0377adafa2428
e07f67b2684f21796c1ac
7312

SHA256

LNK malicioso

9b662720f48749f5b29d
a7b37e519a5088826a48
7e7a440cb5873e5f4ba0
94a2

SHA256

LNK malicioso

8556f07ceb37e726a66c
357cb3b76bba1eb13c21f
fe85fdb37685ecfd06205db

SHA256

LNK malicioso

9d95228173bf5f29bc3d2
6f19e2962ca65fab572095
aeafd955bde7df574ee9c

SHA256

LNK malicioso

6c5a89c3dd7b596fd1be
2aa88eddb3234bf6f006
638c9bb3e04c33f416d28
080

SHA256

LNK malicioso

2387e5e7f1eebfa1c27f95
7fa0f5dc2d7607e2e8b62
4e8fbed22dbb3258987e2

SHA256

PowerShell malicioso

2d69f5ac19a8f9d4989216
65961575a3ac8799348f8
eaa63217f20f1f913858e

SHA256

Hijackloader

e476331dee7ed59dca01
a6891305503c332f9a46
8f587c7001187052beeaec8f

SHA256

Hijackloader

fab5189c5025d7550dab
bafe61a4b2a3a9b6d1bd
880d21d0f5411f0fe530628e

SHA256

Hijackloader

f3b4d31644fb8607937a
10d791595ad997580b8e
2bec2f00059d308e0f1d6afc

SHA256

Hijackloader

a720d05cb33492b7526
8da9b854acb73b0158a2
07842a06b27f6897d0dc
32238

SHA256

Hijackloader

40325649ca85b3022d
dc517c20ea9c1e9ad44f4
91f051101474b2c775fff4b32

SHA256

Hijackloader

e2828abd351fef967f6d3
31d5fc3618fae186dec75d
b344aa10e4b0507a0f28a

SHA256

Remcos RAT

072a05492922f4a812ad
819b7f530c71844e607df
82b107388a98a82fab0aa03

SHA256

Remcos RAT

eabb395b925c39cd2199
cc3952b1cd83b8c0913b7
fd1eee985e48b7949c10c0b

SHA256

Remcos RAT

53fc03a7446f0b6dda8c4
906a661d81a796dcc3e981
fe2709542acf2e600ddb5

SHA256

Remcos RAT

6a4a79b885b5bcd8bbd
978d208e7f14d25c230a52
04ffeff365d5cee7b91a229

SHA256

Remcos RAT

068630c8edc29e424f19
072d7c9daebcb46699f0
4ba9ac00eee33395627
f33c7

SHA256

Remcos RAT

IBM X-Force Premier Threat Intelligence ahora está integrado con OpenCTI by Filigran, brindando inteligencia de amenazas aplicable en la práctica sobre esta actividad de amenazas y más. Acceda a insights sobre actores de amenazas, malware y riesgos de la industria. Instale el X-Force OpenCTI Connector para mejorar la detección y la respuesta, fortaleciendo su ciberseguridad con la experiencia de IBM X-Force. Obtenga una prueba de 30 días de X-Force Premier Threat Intelligence hoy mismo.
Soluciones relacionadas
Servicios de gestión de amenazas

Predecir, prevenir y responder a las amenazas modernas, aumentando la resiliencia del negocio.

 

 Explore los servicios de gestión de amenazas
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

 Explorar las soluciones de detección de amenazas
Soluciones de defensa contra amenazas móviles (MTD)

Proteja su entorno móvil con las soluciones integrales de defensa contra amenazas móviles de IBM MaaS360.

 Explore las soluciones de defensa frente a amenazas móviles
Dé el siguiente paso

Obtenga soluciones integrales de administración de amenazas, protegiendo de manera experta su negocio contra ataques cibernéticos.

 Explore los servicios de gestión de amenazas Reserve una sesión informativa centrada en las amenazas