Fraude BEC NetSupport RAT: Logística

Caso real: Empresa del sector logístico víctima de fraude BEC con NetSupport RAT (nombre del cliente omitido por confidencialidad)

🔑 Puntos clave

🎯 Anatomía de un fraude BEC a empresas de logística (Python Loader + Telegram C2 + NetSupport - Bypass SentinelOne)

📋 Descripción del Incidente

🎣 Acceso Inicial: Ingeniería Social por email (larga duración)

El vector de entrada se distingue por su alta sofisticación y paciencia. A diferencia de campañas masivas, el atacante mantuvo un hilo de correos coherente negociando precios (1.200€ - 1.500€), rutas (NL a FR) y detalles técnicos (FTL, 8T) durante 8 días.

El 16 de diciembre, tras simular un acuerdo, el atacante (“Michał”) indicó a la víctima que debía registrarse en una plataforma externa para “reservar la carga” y descargar el PDF de la orden.

Extracto del correo malicioso (El gancho):

De: Michał Grzegorzewski mgrzegorzewski2.kaspeda@gmail.com
Enviado: martes, 16 de diciembre de 2025 11:31
Para: [REDACTADO]
Asunto: Re: Factura con POD

La víctima accedió al dominio euroads[.]eu/order un portal clonado / fraudulento, donde descargó el archivo malicioso.

⚡ Ejecución y Staging (Python Loader)

El archivo descargado se llamaba Order_024771.exe. A pesar de tener un icono de documento PDF para engañar al usuario, era un ejecutable compilado de Python que actuaba como loader de la herramienta Telegram.exe (explicada más adelante) y el ejecutable de NetSupport modificado.

Inmediatamente tras su ejecución manual por parte del usuario, el proceso Order_024771.exe inició una conexión de red saliente para recuperar los payloads finales.

Destino de la conexión:

• IP: 173.225.111.189
• Host: vps3191010.trouble-free.net
• Proveedor (ISP): Interserver, Inc (Hosting / Data Center)
• Ubicación: New York City, EE.UU. 🇺🇸

Esta IP corresponde a un VPS alquilado por el atacante, utilizado como C2 de primera etapa.

📦 Despliegue de NetSupport RAT

Una vez contactado el VPS, el stager soltó en el disco los componentes de NetSupport Manager:

• Ejecución Legítima: Se ejecuta el binario Client.exe (firmado y legítimo de NetSupport).
• Carga Maliciosa: Client.exe está programado para cargar librerías de su mismo directorio. El atacante cargó las DLLs en el directorio usando el Loader Python y la transferencia de ficheros.

🕵️ Análisis Forense de Configuración (NetSupport Client32.ini)

Durante el análisis forense del disco, recuperamos el archivo de configuración del malware (Client32.ini). Su contenido confirma la intención maliciosa, ya que deshabilita todas las alertas visuales para el usuario y configura servidores de Mando y Control (C2) externos.

Configuración recuperada:

[Client]
_present=1
DisableChatMenu=1          ; Evita que el usuario vea opciones de chat
DisableClientConnect=1     ; Oculta conexión
DisableDisconnect=1        ; Impide al usuario desconectar el RAT
HideWhenIdle=1
ShowUIOnConnect=0          ; No muestra interfaz al conectarse el atacante
silent=1                   ; Modo silencioso activado
SysTray=0                  ; Oculta el icono en la barra de tareas
Usernames=*                ; Permite conexión a cualquier usuario logueado

[HTTP]
GatewayAddress=akusa.icu:443       ; C2 Primario
SecondaryGateway=45.93.20.177:443  ; C2 de Respaldo (IP de Chang Way Technologies Co. Limited)
GSK=EDHF;I>MBBEHHO<G 

Interpretación: El atacante ha configurado el RAT para que sea invisible (SysTray=0, silent=1). Utiliza un dominio (akusa.icu) y una IP directa como respaldo para asegurar la conexión. El valor GSK es la clave de cifrado necesaria para comunicarse con el Gateway del atacante.

🤖 Exfiltración vía Telegram (.NET) y Evasión

Paralelamente al RAT, se desplegó un binario denominado Telegram.exe. El análisis forense confirma que no es la aplicación oficial, sino una herramienta .NET desarrollada por el atacante.

Propósito: Utilizar la API pública de Telegram como canal de Mando y Control (C2). Esto permite que el tráfico de exfiltración de datos se mezcle con el tráfico HTTPS legítimo, dificultando su detección por firewalls convencionales.

🔍 Detección y IOCs (Indicadores de Compromiso)

🌐 Red e Infraestructura

• IP de Staging / C2 Primario: 173.225.111.189 (Interserver, VPS, Hostname: vps3191010.trouble-free.net)
• Dominio C2: akusa.icu (45.93.20.177)
• Dominios de Phishing: euroads[.]eu/order (VirusTotal)
• Correos Electrónicos del Actor: mgrzegorzewski2.kaspeda@gmail.com (Alias: Michał Grzegorzewski)

📂 Hash de Archivos (SHA256)

• Dropper Inicial (Python Loader disfrazado de PDF): bacee81bd00a56c617e05a9fdb9a89cd1a47eea13ba986176fc5dc6000235fad (Identificado como 1.exe o Order_024771.exe) (VirusTotal)
• Fake Telegram (.NET C2 Tool): 54d3a59d202bc7de11f794b127395363e8eeb3d2
• DLL Maliciosa (Side-Loading): a6f89004a246b6ae6e41326052837d375ac832399ac4657ae9549a404f31f140 (PCICL32.DLL) (VirusTotal)

🚨 Respuesta por parte del SOC

1. Cambio de Credenciales: Resetear todas las contraseñas del usuario afectado, ya que el RAT tiene capacidades de keylogging y robo de cookies.
2. Aislamiento: Desconectar inmediatamente el equipo de la red corporativa.
3. Limpieza: Eliminar los archivos en %AppData% y %Temp% relacionados con Telegram.exe y la carpeta de instalación de NetSupport.
4. Monitorización de Procesos: Alertar sobre cualquier ejecución de binarios de control remoto (RMM) y programas llamados Telegram.exe que no estén firmados digitalmente por “Telegram FZ-LLC” y que sean binarios .NET.
5. Detección de Side-Loading: Alertar sobre la creación o carga de ejecutables .exe y DLLs desde directorios temporales de usuario (AppData, Temp, Downloads) en lugar de Program Files.

🧩 Cómo nuestro Adversary-Aware SOC detectó y neutralizó este ataque

Nuestro Adversary-Aware SOC identificó y bloqueó este sofisticado ataque BEC mediante múltiples capas de defensa:

Gracias a nuestro enfoque centrado en el adversario, el SOC no solo identificó las anomalías técnicas, sino que comprendió la táctica completa del atacante: ingeniería social de larga duración + Python stager + RAT comercial + C2 alternativo vía Telegram. Esta visión holística permitió una respuesta coordinada que cortó la cadena de ataque en múltiples puntos.

📚 Lecciones aprendidas

1. Los ataques BEC de larga duración son más peligrosos. 8 días de conversación generan confianza suficiente para que la víctima baje la guardia.
2. Los RATs comerciales legítimos (NetSupport) evaden EDR tradicional. El binario está firmado digitalmente, pero la configuración es maliciosa.
3. Side-Loading es técnica común de evasión. Ejecutables legítimos + DLLs maliciosas en directorios temporales bypass muchas defensas.
4. Telegram como C2 es tendencia creciente. El tráfico HTTPS legítimo a Telegram oculta la exfiltración.
5. Python Loaders son efectivos contra sandboxes. La ejecución directa desde Downloads dificulta el análisis estático.

Conclusión

El ataque fue detectado y neutralizado porque nuestro SOC implementa defensa adaptativa, monitoreo continuo y análisis de comportamiento. Con Merabytes, la historia terminó bien:

• La ingeniería social de larga duración fue detectada por análisis de patrones de email.
• El Python Loader fue identificado por conexión C2 inmediata a VPS extranjero.
• NetSupport RAT fue detectado por ejecución desde directorios no estándar y configuración silenciosa.
• El canal C2 alternativo vía Telegram fue bloqueado por detección de binario .NET no oficial.
• La respuesta rápida del SOC cortó la cadena de ataque antes de exfiltración masiva o movimiento lateral.

#ciberseguridad #bec #businessemailcompromise #netsupport #rat #logistics #dfir #merabytes

Si te interesa proteger tu infraestructura contra ataques BEC sofisticados y RATs comerciales, visita merabytes.com y solicita acceso a nuestros servicios de monitorización continua, protección de endpoints y análisis de comportamiento.