Los investigadores en ciberseguridad han informado sobre un nuevo troyano basado en Rust denominado ChaosBot, detectado inicialmente en septiembre de 2025 en un entorno de servicios financieros. Este malware permite a los operadores ejecutar comandos remotos en sistemas comprometidos y ha sido observado interactuando a través de perfiles de Discord. Los usuarios relacionados con esta actividad son ‘chaos_00019’ y ‘lovebb0024’.
No abras nunca archivos de perfiles desconocidos o mensajes sospechosos
ChaosBot se distribuye predominantemente mediante mensajes de phishing que incluyen un acceso directo de Windows malicioso. Cuando un usuario abre el archivo, se ejecuta un comando de PowerShell que descarga el malware. Este se oculta como un archivo DLL malicioso y busca establecer un túnel de acceso persistente a la red comprometida mediante un proxy inverso. Durante su operación, el malware puede recibir instrucciones adicionales a través del canal de Discord establecido por los atacantes, lo que mejora su capacidad de comando y control.
Además, se ha identificado una variante de ransomware asociada a Chaos que se distingue por eliminar archivos en lugar de encriptarlos. Esta variante también emplea técnicas para manipular el portapapeles, con el objetivo de redirigir transferencias de criptomonedas, incrementando así su peligrosidad y complejidad. Este enfoque dual de extorsión destructiva y robo financiero refleja un cambio hacia tácticas más agresivas y multifacéticas por parte de los actores maliciosos.
ChaosBot ha demostrado ser difícil de detectar, utilizando técnicas para evadir el seguimiento en sistemas Windows, como la modificación de funciones y la verificación de direcciones MAC asociadas a máquinas virtuales. Los analistas advierten que este malware no solo representa una amenaza directa a la seguridad de los sistemas, sino también a las finanzas de los usuarios afectando a las plataformas de criptomonedas.
