Los piratas informáticos de SideCopy implementan malware persistente XenoRAT para atacar el Ministerio de Finanzas de Afganistán
Resumen Informativo
De acuerdo a la publicación titulada Los piratas informáticos de SideCopy implementan malware persistente XenoRAT para atacar el Ministerio de Finanzas de Afganistán, difundida en fecha 01/06/2026 12:33, por el medio Cybersecuritynews (Autor: Tushar Subhra Dutta):
Un grupo de amenazas vinculado a Pakistán conocido como SideCopy lanzó un ciberataque dirigido contra el Ministerio de Finanzas de Afganistán, desplegando una herramienta de acceso remoto persistente llamada XenoRAT. El ataque comenzó con un correo electrónico de phishing que contenía un archivo ZIP.
SideCopy opera bajo el paraguas más amplio de Transparent Tribe, también conocido como APT36, un grupo con un historial documentado de ataques a instituciones gubernamentales del sur de Asia. Una vez que la víctima abre el archivo de acceso directo, el malware utiliza silenciosamente mshta.exe, una utilidad legítima de Windows, para conectarse a un dominio educativo afgano comprometido y descargar una carga útil remota.
Los hackers de SideCopy implementan malware XenoRAT persistente. La cadena de infección se desarrolla en cinco etapas, diseñadas para transferir el control de forma progresiva sin activar mecanismos de detección. Este enfoque “sin archivos” dificulta significativamente su identificación mediante soluciones antivirus tradicionales.
Los investigadores han identificado múltiples indicadores de compromiso (IoC), incluyendo hashes SHA256 asociados a archivos ZIP iniciales, documentos señuelo PDF, archivos LNK maliciosos, componentes HTA, DLL cargadas en distintas etapas y la carga útil final de XenoRAT. También se han identificado direcciones IP vinculadas tanto al servidor de comando y control como a la infraestructura de entrega, así como dominios comprometidos utilizados en el ataque.
Entre los artefactos observados se incluyen scripts de persistencia como archivos por lotes, claves de registro configuradas para ejecución automática bajo nombres que simulan componentes legítimos del sistema, tareas programadas diseñadas para mantener el acceso del atacante y mecanismos de mutex para evitar múltiples instancias del malware. Estos elementos permiten que el acceso remoto se mantenga incluso tras reinicios del sistema o intentos de limpieza parcial.
La publicación "SideCopy Hackers implementa malware XenoRAT persistente para atacar el Ministerio de Finanzas de Afganistán" apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Los piratas informáticos de SideCopy implementan malware persistente XenoRAT para atacar el Ministerio de Finanzas de Afganistán |
| Publicado: | 01/06/2026 12:33 |
| Enlace: | https://cybersecuritynews.com/sidecopy-hackers-deploy-persistent-xenorat-malware |
| Consultado: | 01/06/2026 |
