La evolución de las herramientas de Dark Caracal: análisis de una campaña protagonizada por Poco RAT

Autores:

Denis Kazakov
Especialista en inteligencia sobre ciberamenazas, Centro de seguridad de expertos de Positive Technologies

Sergey Samokhin
Especialista júnior del Grupo de Investigación de Amenazas Sofisticadas, Positive Technologies Expert Security Center

• Dark Caracal ha añadido una nueva arma a su arsenal. Poco RAT amplía una campaña que comenzó en 2022, continuando su enfoque en objetivos de habla hispana en América Latina.
• El grupo utiliza herramientas personalizadas que no están al alcance de otros ciberdelincuentes.
• Dark Caracal utiliza un backdoor basado en Bandook para la distribución masiva, mientras que el malware original se reserva para objetivos selectos.
• Dark Caracal se adhiere a métodos familiares. Su cadena de ataque ha permanecido inalterada durante años y sigue confiando en servicios legítimos para distribuir cargas útiles maliciosas.

A principios de 2024, los analistas del Centro de seguridad de expertos de Positive Technologies (PT ESC) descubrieron una muestra maliciosa que la comunidad de ciberseguridad llamó Poco RAT por las bibliotecas POCO de su código C++. En el momento de su descubrimiento, la muestra no había sido vinculada a ningún grupo de amenazas conocido.

El malware venía cargado con un completo conjunto de características de espionaje. Podía cargar archivos, capturar pantallas, ejecutar comandos y manipular procesos del sistema.

Los patrones de sus tácticas, técnicas y procedimientos lo vinculaban a un actor conocido. Dark Caracal, el grupo detrás de Bandook, era una clara coincidencia. El dropper utilizado en Poco RAT se parecía mucho al de Bandook, lo que reforzaba la conexión

A lo largo de 2024, los sistemas de inteligencia sobre ciberamenazas de PT ESC supervisaron una campaña de implementación de Poco RAT contra redes corporativas. Los correos electrónicos de phishing y los archivos adjuntos maliciosos estaban escritos en español, lo que apunta a un claro enfoque en los usuarios hispanohablantes. En el siguiente diagrama se ilustra la cadena de ataque:

La víctima recibe un correo electrónico en el que se le reclama el pago de una factura pendiente.

Un análisis de los documentos señuelo adjuntos identificó las industrias que los atacantes imitan para hacer sus esquemas más convincentes.

El archivo adjunto al correo electrónico incluye un documento señuelo, normalmente en formato PDF, aunque ocasionalmente aparecen versiones en HTML. Está diseñado para imitar documentos de organizaciones de las industrias objetivo.

Para crear estos archivos se suelen utilizar herramientas como Adobe Acrobat Pro DC y Canva.

El análisis de metadatos ha revelado nombres de autor y de usuario (PDF:Autor), como "trabajo", René Pérez, Keneddy Cedeño y Mr. Pickles. Aparte de "trabajo", estos nombres permiten identificar fácilmente los documentos señuelo vinculados al grupo.

A menudo, los documentos señuelo no son detectados por los antivirus. Sus nombres de archivo imitan los registros de transacciones financieras entre la víctima y la organización suplantada. Es habitual encontrar imágenes borrosas o de baja calidad, posiblemente para atraer a los usuarios menos experimentados a abrirlos.

Una vez abierto, el archivo redirige a la víctima a un enlace que activa la descarga automática de un archivo .rev desde servicios legítimos de intercambio de archivos o plataformas de almacenamiento en la nube. Este método dificulta la detección y el bloqueo de la fuente del malware.

Los archivos con la extensión .rev se generan con WinRAR y se diseñaron originalmente para reconstruir volúmenes perdidos o dañados en archivos de varias partes. Los actores de amenazas los reutilizan como contenedores de carga útil sigilosos, lo que ayuda al malware a eludir la detección de seguridad.

Tabla 1. Ejemplos de nombres de documentos señuelo

El grupo de amenazas distribuye archivos .rev maliciosos utilizando varios métodos:

• Servicios de almacenamiento en la nube como Google Drive y Dropbox. Servicios de acortamiento de enlaces como bit.ly, is.gd, ja.cat y Rebrandly se utilizan para ofuscar URL.
• Soluciones de almacenamiento CDN. Cada ataque utiliza un directorio único con el nombre de la organización suplantada o documentos relacionados. Por ejemplo, un archivo .rev etiquetado como NUEVAFACTURA podría estar alojado en farmabienoctubre2024.b-cdn.net.

Dentro de estos archivos .rev, el archivo dropper refleja el nombre del documento señuelo, lo que hace que parezca más legítimo para la víctima.

Poco RAT es una puerta trasera diseñada para dar a los atacantes el control total de un sistema infectado. Les permite navegar por el sistema de archivos, ejecutar comandos del sistema operativo, lanzar archivos ejecutables y realizar capturas de pantalla. Cada versión analizada de Poco RAT ha sido empaquetada con UPX (Ultimate Packer for Executables), lo que reduce el tamaño promedio del archivo de 24 MB a 13 MB. El aumento de tamaño se debe al uso de POCO, un conjunto de bibliotecas C++ de código abierto creadas para aplicaciones de red e Internet.

El malware se vigila a sí mismo al ejecutar un hilo de monitoreo independiente. Su actividad se divide en dos estados distintos:

• Comprobando el tiempo se refiere a supervisar cuánto tiempo ha estado activo el malware, recopilando marcas de tiempo y evaluando el entorno del sistema.
• Desconectándolo ahora es el estado en el que se corta la conexión con el sistema de la víctima. Esto podría indicar que el malware se está desconectando o intentando evitar ser detectado.

Una vez desplegado, Poco RAT determina a qué servidor de mando y control (C2) conectarse. Una vez establecido el enlace, el servidor envía regularmente al malware mensajes de alerta para mantener su persistencia. Poco RAT extrae entonces información del sistema WinAPI mediante funciones WinAPI estándar, y recopila lo siguiente:

• Nombre de usuario
• Nombre de la computadora
• Versión de SO Windows
• Espacio libre en disco
• Memoria física disponible (RAM)
• Hora actual del sistema

Antes de informar a su servidor C2, el malware comprueba si se está ejecutando en un entorno virtualizado. Busca VirtualBox escaneando la ruta del registro SOFTWARE\Oracle\VirtualBox y sondea el puerto 0×5658, un signo revelador de VMware. Si nada hace saltar las alarmas, envía todos los datos recopilados al servidor.

La información recopilada se empaqueta en un búfer estructurado, separado por el delimitador @&). A continuación, se muestra un ejemplo de formato:

N35*@&)username*@&)pc_name*@&)win_ver*@&)free_disk_space*@&)ram*@&)time*@&)

La siguiente tabla muestra el conjunto completo de comandos que Poco RAT puede ejecutar.

Tabla 2. Lista de comandos

Poco RAT no viene con un mecanismo de persistencia incorporado. Una vez completado el reconocimiento inicial, el servidor probablemente emita un comando para establecer la persistencia, o los atacantes pueden utilizar Poco RAT como un trampolín para desplegar la carga útil principal.

Una investigación de la infraestructura de red de la campaña descubrió los servidores C2 que se comunicaban con las muestras de malware. Los resultados del análisis no mostraron puertos abiertos, servicios activos ni nombres de dominio vinculados.

Tabla 3. Actividad de los servidores C2

En el último año, el análisis de muestras de malware que interactúan con estos servidores C2 ha permitido rastrear el movimiento del grupo de amenazas de un servidor a otro.

A pesar de la ausencia de puertos abiertos visibles, el malware establece conexiones con los servidores C2 a través de puertos específicos:

• 94.131.119.126 — 6541, 6542, 6543
• 185.216.68.121 — 6212
• 193.233.203.63 — 6215, 6211

Un análisis de las cargas de Poco RAT a entornos de pruebas públicos pone de relieve un claro enfoque regional. La mayoría de las muestras proceden de Venezuela, República Dominicana, Colombia y Chile. El alto volumen de actividad en América Latina sugiere que esta campaña está dirigida específicamente a la región.

España no aparece en los datos estadísticos, pero sigue siendo un objetivo notable en los ataques de Poco RAT. La conexión está probablemente vinculada al idioma y a los lazos comerciales. La mayoría de los países afectados son hispanohablantes, y muchos proveedores de servicios latinoamericanos tienen su sede en España.

Por ejemplo, identificamos documentos señuelo que imitaban al BBVA Provincial, un banco venezolano cuya empresa matriz, el Banco Bilbao Vizcaya, tiene su sede en España. Es probable que las soluciones de seguridad corporativa de estas sedes detecten el malware y suban muestras a entornos de pruebas públicos, lo que podría explicar los altos niveles de actividad observados desde España.

Dark Caracal ha estado en el negocio del cibermercenario desde 2012. Realiza ataques por encargo contra instituciones gubernamentales, organizaciones militares, activistas, periodistas y entidades comerciales.

El grupo utiliza Bandook, un troyano de acceso remoto que ha sufrido múltiples modificaciones a lo largo de los años. Sigue siendo una herramienta flexible y eficaz para operaciones específicas. A diferencia del malware que circula por los foros clandestinos, Bandook está prohibido a los intrusos. Solo se sabe que lo utiliza Dark Caracal.

Una campaña vinculada al grupo apareció en 2023. Su objetivo eran países latinoamericanos, como Venezuela y República Dominicana. La operación siguió un patrón familiar, continuando ataques que los investigadores habían documentado previamente. En 2018, informes de EFF y Lookout expusieron tácticas similares.

Las direcciones de servidores de comando y control vinculadas a Dark Caracal se enumeran en la siguiente tabla.

Tabla 4. Infraestructura de red

Las infraestructuras de red detrás de las campañas de Poco RAT y Bandook operaban dentro de los mismos sistemas autónomos (AS). Este solapamiento refuerza la conexión entre las dos familias de malware y sus operadores.

Tabla 5. Solapamiento de AS en las campañas

El gráfico muestra un patrón claro. A medida que desaparecen las muestras de Bandook, empiezan a aparecer las de Poco RAT, a menudo utilizando la misma infraestructura de red. La sincronización sugiere algo más que una mera coincidencia. Es posible que Dark Caracal haya decidido cambiar su antigua herramienta por algo nuevo.

Las campañas vinculadas a Bandook y Poco RAT comparten algunos rasgos característicos. Entre ellos:

• Documentos señuelo borrosos y servicios de acortamiento de enlaces
• Servicios de almacenamiento en la nube legítimos para la distribución de la carga útil
• Un enfoque en los países hispanohablantes de América Latina
• Contenido en español y temas de transacciones financieras para hacer que los archivos parezcan legítimos

Las similitudes en las cadenas de ataque, la funcionalidad del malware y la infraestructura de red apuntan a una conclusión clara. Esta campaña es una continuación de las operaciones de Dark Caracal. El grupo parece estar ajustando sus tácticas para adelantarse a las medidas de seguridad.

En una investigación de ocho meses, de junio de 2024 a febrero de 2025, los investigadores identificaron 483 muestras maliciosas. Esto supone un fuerte aumento con respecto a las 355 muestras de Bandook detectadas entre febrero de 2023 y septiembre de 2024. Las cifras sugieren un cambio de estrategia hacia campañas de phishing a gran escala impulsadas por Poco RAT.

Un análisis de los documentos señuelo y de las industrias suplantadas refuerza otra idea clave. No se trata solo de espionaje. Es probable que la campaña esté impulsada por motivos financieros.

Reglas YARA

Reglas conductuales (malware)

Reglas conductuales (sospechoso)