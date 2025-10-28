Seguridad

Informe de análisis de amenazas de X-Force: LATAM atraída hacia la entrega de PureHVNC

Publicado el 28 de octubre de 2025
Vista lateral de manos escribiendo en el teclado de una computadora portátil en una habitación con iluminación azul

Autores

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

Entre agosto y octubre de 2025, IBM X-Force observó varios correos electrónicos dirigidos a personas de habla hispana, probablemente colombianas, con temas relacionados con la oficina del Fiscal General de Colombia. Los correos electrónicos incitan al usuario a descargar un "documento oficial" del sistema de información judicial, que inicia la cadena de infección de ejecutar un ejecutable Hijackloader que conduce al troyano de acceso remoto (RAT) PureHVNC.

Tipo de amenaza

  • Phishing

Antecedentes

Entre agosto y octubre de 2025, X-Force observó varios correos electrónicos dirigidos a usuarios que probablemente residían en Colombia con correos electrónicos que imitaban a la oficina del Fiscal General de Colombia con descargas de documentos oficiales. Los correos electrónicos tienen como objetivo utilizar Hijackloader para entregar varias cargas útiles, incluido PureHVNC. Hijackloader en sí no se ha utilizado ampliamente en campañas dirigidas a usuarios dentro de América Latina (LATAM), y anteriormente, no hubo campañas observables de X-Force donde los usuarios de LATAM se hayan dirigido a ofrecer PureHVNC. En 2024, hay detalles sobre el uso de Hijackloader para cargar RemcosRAT en campañas dirigidas a clientes de CrowdStrike, probablemente de países de Latinoamérica (según los nombres de los archivos y las instrucciones en español). La entrega de PureHVNC RAT es interesante porque X-Force no ha observado previamente ninguna campaña en la que PureHVNC se haya entregado a usuarios de habla hispana. PureHVNC RAT forma parte de un conjunto de herramientas vendidas por PureCoder. Las herramientas maliciosas están a la venta en la dark web en foros clandestinos, así como en Telegram.

Análisis

Descripción general

A los usuarios se les presenta un correo electrónico que pretende ser una correspondencia oficial relacionada con la oficina del Fiscal General de Colombia. El correo electrónico indica que una demanda ha sido interpuesta por un exempleado, y se está tramitando ante los tribunales laborales. Se adjunta al correo electrónico un archivo SVG, que la víctima abre en Google Drive. En la mayoría de los casos, la vista previa del documento está visible y lista para descargar haciendo clic en el botón de descarga. En un caso, a la víctima se le presentó un "No se pudo obtener una vista previa del archivo" y un botón de descarga, que abrió el archivo en Google Drive. En cualquier caso, mientras está en Google Drive, al hacer clic en cualquier parte del documento, se descargará un archivo ZIP, y ahora se presenta a la víctima una página de "Descarga completa" que contiene una contraseña como "KC4SX87". El archivo ZIP contiene varios archivos adicionales, uno de los cuales es un archivo ejecutable para el que el usuario necesita la contraseña para ejecutarlo si se hace clic en él. Al hacer clic en el archivo EXE, se inicia la cadena de infección, en la que Hijackloader se utiliza para desplegar varias cargas útiles diferentes, incluyendo PureHVNC.

captura de pantalla de un correo electrónico de ejemplo para esta campaña de phishing
Figura 1 Ejemplo de correo electrónico
Ejemplo de página de descarga
Figura 2 Ejemplo de página de descarga
Descarga de SVG que falsifica la Consulta de Procesos Nacional Unificada
Figura 3 Descarga de SVG
Vista previa de descarga de documento SVG para Portal de Consulta Ciudadana falsificado
Figura 4 Vista previa de descarga de documentos SVG
Descarga de SVG que suplanta el Portal de Consulta Ciudadana
Figura 5 Descarga de SVG
captura de pantalla de la descarga completada y la contraseña
Figura 6 Descarga completa y contraseña
Contenido del archivo ZIP
Figura 7 Contenido del archivo ZIP
Entrada de contraseña para archivo EXE
Figura 8 Entrada de contraseña para archivo EXE

Ejemplo de cadena de infección para PureHVNC

  • 02 BOLETA FISCAL.exe (javaw.exe) → JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plagkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]org

Etapa 1 del malware: carga lateral de DLL

Hijackloader utiliza una técnica llamada carga lateral de DLL, que abusa del orden de búsqueda que utiliza Windows para localizar las bibliotecas necesarias para ejecutar una DLL maliciosa. Hijackloader utiliza un archivo javaw.exe legítimo que ha sido renombrado con un nombre de temática judicial (02 BOLETA FISCAL.exe). Dado que una de las dependencias de javaw.exe es JLI.dll, Hijackloader coloca una versión modificada de JLI.dll en el mismo directorio. Cuando se inicia el javaw.exe renombrado, el sistema operativo también carga la DLL maliciosa desde el directorio local.

La función principal del JLI.dll malicioso es cargar la carga útil de la segunda etapa, MSTH7EN.dll. Lo hace llamando a la API LoadLibraryW(), que carga MSTH7EN.dll en el espacio de dirección del proceso. La llamada a la API devuelve la dirección base de la imagen de la DLL recién cargada. Luego, esta dirección se agrega a un desplazamiento específico para calcular el punto de entrada del código malicioso en MSTH7EN.dll.

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

Etapa 2 del malware: fase de carga

La carga útil de la segunda etapa comienza con la inicialización. Para evitar la detección, carga y resuelve dinámicamente todas las bibliotecas y API necesarias. Una vez completado, verifica que el directorio de trabajo actual coincida con la ubicación del Hijackloader, lo que garantiza que se pueda hacer referencia a la carga útil de la tercera etapa y cargarla correctamente.

La carga útil de la tercera etapa contiene una configuración de malware cifrada con los siguientes componentes:

  • Clave para descifrar la configuración
  • Tamaño de la configuración cifrada
  • Los datos de configuración cifrados

Tras el descifrado, la configuración del malware contiene información, como la siguiente:

  • El nombre de la DLL para realizar el vaciado de DLL en
  • El tamaño del shellcode para el vaciado de DLL
  • El desplazamiento del código malicioso dentro del shellcode
  • Hashes de nombres de procesos que, si se encuentran, retrasarán la ejecución del malware
  • Los primeros cuatro bytes del shellcode, utilizados para la validación
  • Una cadena de búsqueda utilizada para localizar el comienzo del shellcode
captura de pantalla de la configuración del malware cifrado
Figura 9 Configuración del malware cifrado
captura de pantalla de la configuración del malware descifrado
Figura 10 Configuración de malware descifrado

Luego, el shellcode se carga en vssapi.dll, que es la DLL especificada en la configuración del malware. Esto se hace llamando a VirtualProtect() para cambiar la protección de memoria de la sección .text del DLL a PAGE_EXECUTE_READWRITE. Finalmente, el shellcode se copia en esta dirección de escritura y el flujo de ejecución se transfiere a ella.

El shellcode actúa como un cargador, pero primero, procesa los nombres de los procesos en ejecución en el sistema y los compara con los valores especificados en la configuración del malware. Si se encuentra una coincidencia, el malware utiliza la API NtDelayExecution() para detener su propia ejecución.

A continuación, lee el contenido de Plagkeg.zk. El contenido de este archivo es otra configuración de malware cifrada y los módulos de HijackLoader. Los datos se dividen en varios fragmentos, y el fragmento inicial contiene la siguiente información:

  • El tamaño de los datos cifrados
  • Marcador (“IDAT”)
  • Un valor (0xC6A579EA) utilizado para verificar los bytes iniciales del shellcode
  • La clave para descifrar los datos

Los fragmentos posteriores siguen esta estructura:

  • El tamaño del fragmento de shellcode
  • Marcador (“IDAT”)
  • Los bytes cifrados

Para ensamblar estos fragmentos, HijackLoader itera a través de los datos cifrados buscando el patrón “????IDAT“, donde los signos de interrogación actúan como comodines. Una vez que se encuentra una coincidencia, comprueba si los cuatro bytes que siguen inmediatamente al patrón son iguales a 0xC6A579EA. Esto confirma que se ha encontrado el fragmento inicial, lo cual es importante porque contiene el tamaño total del shellcode y la clave de descifrado. Si el valor coincide, HijackLoader almacena los bytes de shellcode en un búfer. El proceso se repite para todos los fragmentos posteriores, y sus bytes de shellcode se agregan al mismo búfer, hasta que no se encuentran más patrones coincidentes.

Una vez terminado, el búfer que contiene el shellcode cifrado se descifra mediante un cifrado XOR y luego se descomprime mediante el algoritmo LZNT1. El resultado es una estructura que contiene diversa información, como la carga útil final, la estructura del módulo, etc.

Etapa 3 del malware: ti64, módulo principal

La funcionalidad de HijackLoader se divide en módulos. Algunos contienen código ejecutable, mientras que otros son simplemente información utilizada como referencia. Un ejemplo de esto es el módulo COPYLIST,que contiene la lista de nombres de archivo relacionados con esta variante de HijackLoader. Según el informe de Trellix, algunas variantes de HijackLoader admiten hasta 40 módulos, pero la muestra analizada para este informe solo admite 35. No todos los módulos se ejecutan, y su uso depende de los indicadores especificados en la configuración del malware.

La siguiente tabla resume el nombre de cada módulo y su propósito:

HijackLoader recorre estas estructuras y convierte cada nombre de módulo en un hash mediante un algoritmo personalizado. Una vez que se encuentra la coincidencia para el módulo "ti64", calcula un puntero al código del módulo agregando el desplazamiento de los datos a la base de la matriz de datos del módulo. Este puntero se devuelve y se utiliza como referencia al shellcode de "ti64".

A continuación, el malware realiza otra operación de vaciado de DLL para inyectar el shellcode del módulo "ti64". El objetivo es un DLL especificado en la configuración descifrada anteriormente, que en este caso es pla.dll.

Nombre del módulo

Hash

Propósito

AVDATA

0x78B783CA

Contiene hashes de procesos relacionados con productos de seguridad

ESAL
ESAL64

0x757C9405
0x6364A15B

Limpia los datos en memoria del hijackloader y ejecuta la carga útil final

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

Se utiliza para inyectar y ejecutar el shellcode relacionado con el HijackLoader

ESWR
ESWR64

0x93EB1CB1
0xAE2762

Borra los datos del shellcode y ejecuta el módulo rshell

FIXED

0x699D0C82

Archivo PE legítimo utilizado para inyectar código en su proceso

LauncherLdr64

0xF4F141C2

Descifra los archivos de configuración que están almacenados en el disco

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

Se utiliza para ejecutar un archivo

modTask
modTask64

0x3115355E
0x9BFAF2D3

Crea persistencia mediante una tarea programada

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

Se utiliza para la escalada de privilegios

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

Gestiona la creación de archivos en el disco

rshell

rshell64

0x74984889
0x7B37E907

Ejecuta la carga útil final

ti

ti64

0x3EE477F1
0x2AB77DB8

Sirve como el shellcode principal que ejecuta todos los demás módulos

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

Actúa como proxy para ejecutar llamadas a la API

tinystub
tinystub64

0x4EACE798
0x6E874E5A

Contiene un archivo ejecutable ficticio, que se utiliza para aplicar parches durante el proceso final de ejecución de la carga útil

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

Sobrescribe los encabezados de PE de un archivo especificado con bytes nulos

SM

0xD8222145

Contiene el nombre del DLL del sistema utilizado en la suplantación de pilas de llamadas o en la inyección de shellcode

COPYLIST

0x1AE7700A

Una lista de nombres de archivos para copiar o eliminar

CUSTOMINJECT

0x6703F815

Contiene un archivo ejecutable legítimo que se utiliza para inyectar código en su memoria de proceso. El proceso se crea en una ruta personalizada especificada por el módulo CUSTOMINJECTPATH 

CUSTOMINJECTPATH

0x192A4446

Contiene una ruta de archivo utilizada para crear el archivo legítimo en el módulo CUSTOMINJECT 

X64L

0xCB5B9F3F

Módulo que se inyecta en un proceso para servir como proxy de inyección

WDUACDATA

0x4D75088D

Contiene la cadena utilizada para ejecutar comandos a través de cmd

WDDATA

0xB718A6AE

Contiene un comando de PowerShell para agregar una exclusión de Windows Defender Antivirus

PERSDATA

0xA2E0AB5D

Contiene la configuración utilizada por el módulo modTask para crear tareas programadas

MUTEX

0x1999709F

Contiene el nombre de mutex para verificar

escalada de privilegios

El módulo modUAC, al igual que los demás módulos, utiliza TinycallProxy para llamar a las API. Si el primer DWORD del módulo UACDATA es 2, utiliza las "runas" para elevar su privilegio. De lo contrario, utiliza la interfaz COM CMSTPLUA para omitir UAC.

Evasión

Llamada indirecta de API

En algunas variantes, HijackLoader utiliza una técnica llamada" suplantación de pila" para enmascarar el origen de las llamadas a la API y al sistema. Para ello, utiliza el registro de punteros base (EBP) para navegar por la pila, siguiendo la cadena de punteros EBP para recuperar la dirección de retorno de cada trama de pila. Si una dirección de remitente no está dentro de la sección .text de ntdll.dll o kernelbase.dll, HijackLoader lo almacena para más adelante. Este proceso se repite hasta que se alcanza el límite de pila o hasta que se encuentran tres direcciones de retorno consecutivas dentro de esas bibliotecas del sistema.

A continuación, realiza la suplantación de la pila de llamadas sobrescribiendo las direcciones de retorno legítimas guardadas con direcciones falsas. Cada dirección falsa se genera seleccionando una exportación aleatoria de un DLL especificado por el módulo SM (en este caso, dcd9.dll) y agregando un desplazamiento aleatorio,asegurando que el puntero final aterrice dentro de la sección .text de ese módulo. A continuación, se utiliza Heaven's Gate para realizar la llamada al sistema. Inmediatamente después de que se completa la llamada, se restauran las direcciones originales de la pila.

Sin embargo, las variantes más recientes utilizan una técnica diferente. En lugar de suplantar la pila, HijackLoader carga el DLL de destino especificado por el módulo SM a través de LoadLibraryW(). A continuación, guarda el código de un desplazamiento aleatorio dentro de ese DLL en un búfer temporal y lo reemplaza con el shellcode del módulo TinyCallProxy64, que está diseñado para llamar a la API especificada. Una vez finalizada la llamada, se restaura el código original y limpio.

HijackLoader utiliza estas técnicas para una serie de funciones seleccionadas que probablemente sean supervisadas por el software antivirus, como ZwProtectVirtualMemory ZwGetContextThread.

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

Técnica

Descripción

Comprobación antidepuración basada en el tiempo

Utiliza una técnica de evasión basada en el tiempo midiendo la latencia de la instrucción cpuid. Envuelve la llamada cpuid con instrucciones rdtsc dentro de un bucle, y si el tiempo de ejecución excede un umbral especificado, detecta la presencia de un depurador o máquina virtual.

Comprobación de hipervisor

Realiza una comprobación contra VM estándar ejecutando la instrucción cpuid y comprobando el "bit de hipervisor" (bit 31) en el registro ECX devuelto. Si este bit se establece en 1, indica la presencia de un hipervisor.

Verificación de ID del proveedor

Realiza una comprobación contra VM consultando la hoja de información del hipervisor (0x40000000). Un valor devuelto en EAX mayor o igual a 0x40000000 indica la presencia de hojas activas de CPUID específicas del hipervisor.

Comprueba la RAM total

Realiza una comprobación contra sandbox consultando la RAM física total. Llama a NtQuerySystemInformation para calcular la memoria total en gigabytes (desplazando a la derecha el recuento de bytes en 30) y termina si el resultado es inferior a 4 GB.

Comprueba el número de procesadores

Realiza una comprobación contra sandbox consultando el número de núcleos de CPU. Llama a NtQuerySystemInformation para obtener el número de procesadores y lo compara con el valor especificado en la configuración del módulo ANTIVM.

Comprobación de nombres de usuario

Compara el nombre de usuario del usuario actual con el valor especificado en el módulo ANTIVM.

Comprobación del nombre de la computadora

Comprueba si el nombre de la computadora consiste solo en números.

Comprueba el directorio de trabajo actual

Comprueba si la ruta actual del módulo está en el escritorio.

Una comprobación contra virtualización fallida deriva en la terminación del proceso a través de una llamada a ZwTerminateProcess().

Desenganche de NTDLL

La rutina de desenganche compara la sección .texto del archivo ntdll.dll actualmente cargado contra una copia limpia y asignada. Busca instrucciones call (0xE8) y jmp (0xE9) y detecta un hook si el tipo de instrucción o la dirección de destino difieren entre las dos versiones. Si se encuentra un hook, el malware parchea el ntdll.dll en memoria restaurando los bytes originales y limpios.

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

Persistencia

El mecanismo de persistencia de HijackLoader también está controlado por su configuración. El comportamiento está determinado por un indicador:

  • Acceso directo a LNK (indicador 1):  si el indicador se establece en 1, HijackLoader crea un archivo LNK que apunta a su propia ruta ejecutable. A continuación, este acceso directo se mueve a la carpeta de inicio del usuario para garantizar la ejecución al iniciar sesión.
  • Tarea programada (indicador 3): si el indicador se establece en 3, se crea una tarea programada utilizando el módulo modTask .

Además de estos indicadores, HijackLoader puede crear otro mecanismo de persistencia al buscar un módulo PERSDATA.  Este módulo contiene los datos de configuración necesarios, como el nombre de la tarea, para crear una segunda tarea programada.

Métodos de inyección

Tipo de inyección

Descripción

Si el archivo que se va a inyectar es un DLL o los indicadores de inyección son inferiores a 0x3,

la carga útil final se ejecutará con el mismo proceso, por lo que la carga útil del DLL se asignará al DLL vaciado.

Si la carga útil final no es un archivo.NET/CLR, los indicadores de inyección 0x20 son falsos y 0x80 es verdadero

Oculta la carga útil rshell en un PE tinystub ficticio usando una transacción NTFS revertida. A continuación, asigna este PE oculto a un proceso suspendido (FIXED), donde el módulo ESWR secuestra el contexto del hilo principal para ejecutar el código rshell.

Si la carga útil final no es un archivo.NET/CLR, los indicadores de inyección 0x20 y 0x80 son falsos

El módulo FIXED se coloca en el disco y se crea como un proceso suspendido. A continuación, se utiliza el módulo ESWR para activar la ejecución de la carga útil rshell dentro del proceso FIXED .

Los indicadores de inyección 0x100 se establecen en verdadero y 0x20 en falso.

Inyecta rshell en un ejecutable legítimo del sistema suspendido (por ejemplo, MSBuild.exe) que se localiza analizando el encabezado .NET para la ruta CLR. La carga útil se parchea en memoria antes de ejecutarse mediante el secuestro de contexto de subprocesos y borra sus propios encabezados PE.

Los indicadores de inyección 0x4 y 0x80 son verdaderos.

Elimina condicionalmente el módulo FIXED y, a continuación, almacena la carga útil de rshell en un archivo transaccional revertido (tinystub). Inyecta esto en el proceso FIXED suspendido a través del mapeo de secciones. La ejecución se activa mediante el secuestro del contexto del subproceso, seguido de la eliminación opcional de su encabezado PE.

Los indicadores de inyección 0x4 son verdaderos y 0x80 son falsos.

HijackLoader inicia un proceso suspendido, crea y asigna una nueva sección de memoria directamente dentro de él y luego escribe el módulo rshell parcheado en esta sección. La ejecución se desencadena secuestrando el contexto del subproceso principal para ejecutar el código rshell.

Los indicadores de inyección 0x4 son falsos y 0x10 son verdaderos.

Realiza el proceso de vaciado lanzando su módulo FIXED, borrando su sección de memoria principal y, a continuación, copiando la carga útil. Escribe el encabezado “MZ” en dos llamadas separadas. Por último, inyecta el módulo rshell parcheado, modifica el PEB y, opcionalmente, borra el encabezado PE de la carga útil.

El tipo de inyección está establecido en 4

Inyecta la carga útil principal y el módulo rshell a través de la asignación de secciones. Se crea una sección y se completa localmente con el rshell parcheado y la carga útil, luego se asigna a un proceso de destino suspendido (un binario nativo del sistema o un módulo CUSTOMINJECT). La ejecución se activa secuestrando el contexto del hilo principal para que apunte al punto de entrada de rshell.

Conclusión

Los usuarios dentro de las regiones de LATAM son cada vez más el objetivo de correos electrónicos que se hacen pasar por entidades de gobierno o judiciales, con temas que a menudo crean una sensación de urgencia. X-Force observa campañas que habitualmente implican un enlace incrustado o archivos adjuntos ZIP que llevan a las víctimas a descargadores maliciosos. Entre agosto y octubre de 2025, X-Force observó varios correos electrónicos dirigidos a usuarios que probablemente residían en Colombia con correos electrónicos que imitaban a la oficina del Fiscal General de Colombia con descargas de documentos oficiales. Hijackloader es un malware modular con mecanismos de evasión y persistencia, que se entrega principalmente a los usuarios como un archivo comprimido ZIP o RAR. Los archivos contienen un DLL malicioso que se carga de forma lateral y se utiliza para entregar cargas útiles adicionales. Estos correos electrónicos, probablemente parte de una sola campaña, son significativos porque los actores utilizan Hijackloader para entregar PureHVNC RAT, una combinación no observada anteriormente por X-Force.

Recomendaciones

  • Active la visualización de extensiones de archivo.
  • Examine la necesidad operativa de permitir el tráfico hacia y desde los dominios de DuckDNS.
  • Tenga cuidado al abrir archivos adjuntos de correo electrónico y hacer clic en enlaces incrustados de fuentes no confiables o desconocidas.
  • Busque procesos, tráfico de red y IoC detallados en este informe.
  • Instale, actualice y configure el software de seguridad endpoint.
  • Monitoree las reglas de los endpoints

Indicadores de compromiso

Indicador

Tipo de indicador

Contexto

troquelesmyj[@]gmail.com

Correo electrónico

Correo electrónico del remitente

nuevos777[.]duckdns[.]org

Dominio

Dominio C2

7octubredc[.]duckdns[.]org

Dominio

Dominio C2

dckis13[.]duckdns[.]org

Dominio

Dominio C2

dckis7[.]duckdns[.]org

Dominio

Dominio C2

enviopago[.]mysynology[.]net

Dominio

Dominio C2

maximo26[.]duckdns[.]org

Dominio

Dominio C2

sofiavergara[.]duckdns[.]org

Dominio

Dominio C2

hxxps[:]//drive[.]Google[.]COM
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

URL

Host SVG

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

URL

Host SVG

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

ZIP

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

RAR

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

Hijackloader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

Hijackloader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

Hijackloader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

Hijackloader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

Hijackloader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

Hijackloader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

Hijackloader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

Hijackloader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

Hijackloader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

Hijackloader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

Hijackloader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

Hijackloader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

Hijackloader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

Hijackloader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

Hijackloader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

Hijackloader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

Hijackloader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

Hijackloader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

Hijackloader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

Hijackloader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

Hijackloader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

Hijackloader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

Hijackloader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

Hijackloader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

IBM X-Force Premier Threat Intelligence ahora está integrado con OpenCTI de Filigran, ofreciendo inteligencia de amenazas aplicable en la práctica sobre esta actividad de amenazas y más. Acceda a insights sobre actores de amenazas, malware y riesgos de la industria. Instale el X-Force OpenCTI Connector para mejorar la detección y la respuesta, fortaleciendo su ciberseguridad con la experiencia de IBM X-Force. Obtenga una prueba de 30 días de X-Force Premier Threat Intelligence hoy mismo.

