Antonela Arenas

Un viejo conocido del ciberespionaje acaba de volver al escenario… pero con nuevas habilidades. Se trata del troyano MysterySnail, una herramienta de acceso remoto (RAT) que ahora está siendo usada en una versión renovada por el grupo de hackers conocido como IronHusky, de raíces chinas y un largo historial en operaciones encubiertas.

Los investigadores de Kaspersky detectaron esta nueva ola de ataques dirigida a organismos gubernamentales rusos y mongoles, donde los ciberdelincuentes usan scripts maliciosos camuflados como documentos de Word para tomar control de los sistemas y mantenerse ocultos durante el mayor tiempo posible.

Una de las armas más curiosas que se detectó en estas campañas es una puerta trasera intermedia completamente desconocida hasta ahora. Esta pieza de software actúa como un “soldado digital”, moviendo archivos entre los dispositivos comprometidos y los servidores de comando y control, ejecutando órdenes, eliminando archivos o lanzando nuevos procesos cuando se lo ordenan.

¿Qué hay de nuevo en esta versión?

El nuevo “MysterySnail” fue bautizado por los expertos como MysteryMonoSnail, debido a su estructura más simple pero igualmente peligrosa: es una sola pieza que hace todo el trabajo sucio. A pesar de ser más liviano, sigue siendo capaz de ejecutar decenas de comandos que permiten al atacante manipular completamente el sistema infectado.

Y aunque suene increíble, el RAT mantiene muchas de las características del implante original descubierto en 2021, cuando IronHusky lo utilizó para infiltrarse en empresas de defensa, diplomáticos y compañías tecnológicas de alto perfil. En aquel entonces, explotaron una vulnerabilidad crítica del kernel de Windows (CVE-2021-40449) para abrir la puerta de entrada.

¿Quiénes son estos “huskys de hierro”?

IronHusky no es un grupo para tomar a la ligera. Se lo viene siguiendo desde 2017, cuando se infiltraron en sistemas de gobiernos ruso y mongol para espiar las negociaciones militares entre ambos países. Desde entonces, han usado desde exploits en Office hasta herramientas RAT populares como PoisonIvy o PlugX, marcando con claridad su origen chino y su especialización en campañas de inteligencia.

Lo que más llama la atención es su persistencia: apenas se bloquean sus accesos, se adaptan y reanudan los ataques con nuevas variantes. Es una muestra de cómo los grupos APT (Amenazas Persistentes Avanzadas) no descansan, y de que las viejas herramientas, bien afinadas, siguen siendo igual de peligrosas.

¿Por qué debería importarte?

Aunque estos ataques están enfocados en blancos estratégicos y tácticos, el uso de documentos de Word como vector de entrada y la explotación de vulnerabilidades conocidas son un recordatorio de que nadie está exento. Las técnicas pueden escalar rápidamente hacia objetivos civiles o empresariales si los atacantes así lo deciden.

Como dato curioso, el nombre MysterySnail no es casual: en su versión original, el troyano dejaba rastros de comportamiento inusualmente “lento” en los sistemas infectados, como si un caracol estuviera arrastrándose por la red… pero dejando una estela de espionaje de alto nivel.