BlackCatSEO

• Actor de Amenaza: "Black Cat" (Gato Negro) - nombrado por CNCERT/CC y ThreatBook (Beijing Weibu/Microstep Online).
• Campaña Relacionada: Ataques de phishing suplantando AICoin (2023), Chrome (2024), QQ International e iTools (2024-2025).

• Primera Actividad Conocida: 2022.
• Pico de Actividad Reciente Detectada: Del 7 al 20 de diciembre de 2025 (período de monitoreo intensivo del informe).
• Fecha de Publicación del Análisis: 7 de enero de 2026 (por CNCERT/CC y ThreatBook).
• Registro de Dominios C2 Relevantes: Ejemplo: sbido.com registrado el 5 de septiembre de 2025.

• Atribución: Colectivo de ciberdelincuencia denominado "Black Cat".
• Motivación: Financiera, mediante robo de datos sensibles (credenciales, información de navegadores, criptomonedas) y posible control remoto para la creación de botnets.
• Perfil: Grupo organizado con capacidades de desarrollo de malware propio, gestión de infraestructura (phishing, C2) y técnicas de manipulación SEO (Black Hat SEO). Su evolución muestra una expansión desde ataques más específicos (plataformas de criptomonedas) a objetivos de masas (usuarios generales de internet).

La banda de ciberdelincuencia "Black Cat" ejecuta una campaña persistente y en evolución desde 2022, especializada en el envenenamiento de resultados de motores de búsqueda (SEO Poisoning). Su modus operandi consiste en crear sitios web de phishing de alta calidad que suplantan portales de descarga de software popular (Notepad++, Obsidian, WinSCP, Chrome, etc.), optimizándolos para aparecer en los primeros resultados de búsqueda (especialmente en Bing y motores de búsqueda chinos). Al hacer clic en estos enlaces, las víctimas son redirigidas a través de múltiples páginas fraudulentas (simulando incluso GitHub) hasta descargar un instalador comprometido. Este instalador despliega un troyano de puerta trasera personalizado que roba datos de navegadores, registra pulsaciones de teclas, extrae el portapapeles y establece persistencia. La campaña ha logrado un impacto significativo, comprometiendo aproximadamente 277,800 hosts en China en un período de dos semanas en diciembre de 2025, con picos de 62,167 máquinas comprometidas en línea simultáneamente.

1. Envenenamiento de SEO (Search Engine Optimization Poisoning): Técnica principal. Los actores manipulan algoritmos de motores de búsqueda para posicionar sus sitios maliciosos en los primeros resultados para búsquedas de software legítimo.
2. Phishing de Descargas de Software (Drive-by-Download): Los usuarios son engañados para descargar e instalar software que creen legítimo desde sitios fraudulentos de apariencia profesional.
3. Abuso de Confianza en Marcas y Plataformas: Suplantación de sitios oficiales de software (Notepad++) y de plataformas de confianza como GitHub para camuflar las descargas maliciosas.
4. Ingeniería Social: Uso de nombres de dominio convincentes (ej. cn-notepadplusplus[.]com), diseño web imitativo y presencia de tutoriales falsos en los sitios para generar credibilidad y reducir las sospechas del usuario.

• TA0013: Desarrollo de Recursos (Desarrollo de Malware): Desarrollo de un troyano de puerta trasera personalizado para robo de datos y control remoto. Emplea técnicas de ofuscación y evasión (archivos PE cifrados, carga reflexiva).
• T1583.001: Adquisición de Infraestructura (Dominios): Registro de múltiples dominios de phishing con nombres similares a los legítimos (ej. notepadplusplus[.]cn, cn-obsidian[.]com).
• T1584.001: Compromiso de Infraestructura (Servidores VPS/C2): Gestión de una infraestructura de servidores C2 (ej. sbido.com) con direcciones IP que se actualizan periódicamente.
• T1608.001: Establecimiento de Activos (Páginas de Phishing): Creación de sitios web de phishing de alta fidelidad, no meras copias, incluyendo contenido adicional (tutoriales) para parecer auténticos.
• TA0043: Reconocimiento (Análisis de Palabras Clave): Identificación de términos de búsqueda populares de software para orientar sus esfuerzos de envenenamiento SEO.
• T1059.003: Ejecución (Comando y Scripting Interpreter - Windows Command Shell): Uso de instaladores que ejecutan comandos para desplegar la carga útil.
• T1218.011: Defensa-Evasión (Signed Binary Proxy Execution - Rundll32): Ejecución del malware a través de rundll32.exe (Living-off-the-Land Binaries - LOLBins) para evadir detecciones basadas en firmas.
• T1547.001: Persistencia (Registry Run Keys / Startup Folder): Creación de entradas en el registro de Windows (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) para lograr ejecución automática al inicio.
• T1555.003: Credential Access (Credentials from Web Browsers): Robo de credenciales, cookies e historial de navegadores instalados (Chrome, Edge, etc.).
• T1056.001: Credential Access (Input Capture - Keylogging): Implementación de un keylogger para capturar todas las pulsaciones del teclado.
• T1115: Collection (Clipboard Data): Monitoreo y exfiltración del contenido del portapapeles del sistema.
• T1041: Exfiltration (Over C2 Channel): Exfiltración de datos robados a través del canal de comando y control (C2) hacia sbido.com:2869.
• T1071.001: Command and Control (Application Layer Protocol - Web Protocols): Uso de protocolos web (HTTP/HTTPS) para comunicaciones C2.

1. Reconocimiento: El actor identifica software de alta demanda (Notepad++, WinSCP, etc.) y las palabras clave asociadas.
2. Preparación de Armamento:
   • Desarrolla/actualiza el troyano de robo de datos.
   • Registra dominios de phishing (ej. cn-notepadplusplus[.]com).
   • Crea páginas web de phishing de alta calidad.
   • Configura infraestructura C2 (sbido.com).
3. Entrega: Posiciona los sitios de phishing en los primeros resultados de motores de búsqueda mediante técnicas de Black Hat SEO.
4. Explotación: La víctima busca software legítimo, hace clic en el resultado envenenado y llega al sitio falso.
5. Instalación:
   • En el sitio falso, hace clic en "Descargar" y es redirigido a páginas intermedias (falsificando GitHub: github.zh-cns[.]top).
   • Descarga un archivo ZIP que contiene un instalador comprometido.
   • Ejecuta el instalador, que: a. Instala (o simula instalar) la aplicación legítima. b. Crea un acceso directo en el escritorio que apunta a un componente malicioso. c. Extrae y escribe un archivo DLL malicioso y un archivo de datos cifrado (M9OLUM4P.1CCE) en el sistema.
6. Ejecución y Persistencia:
   • El acceso directo o un mecanismo de activación ejecuta rundll32.exe para cargar la DLL maliciosa.
   • La DLL descifra y carga en memoria (via reflective loading) el archivo PE final desde M9OLUM4P.1CCE.
   • El troyano establece persistencia agregando una entrada en HKCU\...\Run.
7. Acciones en Objetivos (C2):
   • El troyano se conecta al C2 (sbido.com:2869).
   • Comienza las tareas de robo de datos: credenciales de navegadores, keylogging, monitoreo del portapapeles.
   • Exfiltra la información robada al servidor C2.
   • Espera y ejecuta comandos adicionales del operador (potencial control remoto).

• Dominios de Phishing (Ejemplos):
  • cn-notepadplusplus[.]com
  • notepadplusplus[.]cn
  • cn-obsidian[.]com
  • cn-winscp[.]com
  • cn-qq-international[.]com (tipo histórico/nuevo)
  • itools-s[.]com (tipo histórico/nuevo)
• Dominios de Redirección/Descarga Falsa:
  • github.zh-cns[.]top (suplantando GitHub)
• Infraestructura de Comando y Control (C2):
  • sbido[.]com:2869 (codificado en el malware)
• Dominios C2 Históricos/Asociados (Resueltos a mismas IPs):
  • www.llianm[.]com
  • www.luludo[.]com
  • www.yingxinbao[.]com

• Objetivo Principal: Usuarios finales individuales en busca de software gratuito y popular. El foco geográfico reciente es notablemente usuarios de internet en China (uso de dominios .cn y cn-).
• Software Falsificado: Notepad++, Obsidian, WinSCP, Google Chrome, QQ International, iTools. Indica una expansión desde nichos específicos (criptoinversores en 2023) hacia el público general.
• Sectores Impactados: Cualquier sector cuyos empleados o miembros descarguen software desde motores de búsqueda sin verificar la fuente. El robo de credenciales puede dar acceso posterior a entornos corporativos.

• Impacto Técnico:
  • Pérdida de confidencialidad masiva: credenciales, historial, datos financieros, información personal.
  • Compromiso de la integridad y control del sistema infectado (potencial botnet).
  • Riesgo de movimiento lateral si las credenciales robadas son reutilizadas en entornos corporativos.
• Impacto Operacional/Económico:
  • Pérdidas financieras directas por robo de criptomonedas o fraudes.
  • Costos asociados a la limpieza de sistemas, investigación y posible recuperación de identidad.
• Riesgo Asignado: ALTO. La campaña es activa, masiva, utiliza técnicas evasivas y el malware tiene capacidades de robo de información crítica. La escala de infección (~277k hosts) confirma su efectividad y alto riesgo.

• Hashes de Archivos Maliciosos (Ejemplos del informe):
  • 0D6CFDE... (SHA256 del instalador/paquete inicial. Nota: El informe original no muestra hashes completos. Se deben extraer de las muestras analizadas).
• Nombres de Archivos y Rutas:
  • M9OLUM4P.1CCE (archivo de datos cifrado leído por la DLL).
  • Creación de directorios con nombres aparentemente aleatorios para almacenar datos robados (ej. en C:\Users\[Usuario]\AppData\Local\Temp\).
  • Acceso directo sospechoso en el escritorio apuntando a rundll32.exe con parámetros que cargan una DLL en una ruta inusual.
• Artefactos del Registro:
  • Clave de persistencia: HKCU\Software\Microsoft\Windows\CurrentVersion\Run con valor apuntando a rundll32.exe y una DLL maliciosa.
• Actividad de Red:
  • Conexiones salientes hacia el dominio sbido.com en el puerto 2869 (TCP).
  • Resolución DNS de los dominios de phishing y C2 listados anteriormente.
  • Comunicaciones HTTP/HTTPS con las IPs asociadas a los dominios C2.

1. Para Usuarios Finales:
   • Descargar software exclusivamente desde sitios web oficiales o repositorios de confianza verificados. Evitar motores de búsqueda para descargas críticas.
   • Verificar la URL antes de descargar. Desconfiar de dominios con prefijos/sufijos extraños (como cn- o .cn en software no chino).
   • Habilitar y mantener actualizado un software antivirus/anti-malware de buena reputación.
   • Escanear con antivirus cualquier archivo descargado antes de ejecutarlo.
   • Mantener el sistema operativo y todas las aplicaciones parcheadas.
   • Ser escéptico con sitios web que, a pesar de parecer profesionales, ofrecen descargas directas sin enlaces a páginas de desarrolladores oficiales.
2. Para Administradores de Sistemas y Empresas:
   • Implementar políticas de lista blanca de aplicaciones (AppLocker/Software Restriction Policies) para restringir la ejecución de software no autorizado.
   • Utilizar soluciones EDR/NDR para detectar comportamientos sospechosos (carga reflexiva de DLLs, conexiones a dominios IOCs, creación de persistencia en registro, keylogging).
   • Filtrar el tráfico web saliente a nivel de proxy/firewall, bloqueando el acceso a dominios IOCs conocidos y alertando sobre conexiones a puertos no estándar (como el 2869).
   • Educar a los usuarios sobre los riesgos del envenenamiento SEO y las técnicas de phishing.
   • Implementar el principio de mínimo privilegio en las estaciones de trabajo para limitar la capacidad de instalación de software.
   • Realizar copias de seguridad periódicas y asegurar que exista un plan de respuesta a incidentes.

• Sistemas EDR/XDR: Capaces de detectar las técnicas TTPs mencionadas (ej. ejecución de Rundll32 con parámetros sospechosos, creación de claves de Run, acceso a archivos de navegadores por procesos no legitimados).
• Antivirus/Anti-Malware de Nueva Generación: Deberían detectar el troyano basándose en firmas comportamentales o de IOCs.
• Sistemas de Monitoreo de Red (IDS/IPS, NDR): Para identificar y bloquear tráfico hacia/as desde los dominios e IPs de la infraestructura de "Black Cat".
• Analizadores de DNS: Para detectar consultas a dominios maliciosos conocidos o con patrones sospechosos (similares a marcas legítimas).
• Herramientas de Análisis Forense: Para investigar artefactos como el archivo M9OLUM4P.1CCE, las DLLs maliciosas y las entradas de registro de persistencia.

• CNCERT/CC & ThreatBook (Beijing Weibu/Microstep Online). (7 de enero de 2026). Advertencia de riesgo sobre el uso de motores de búsqueda por parte de la banda "Gato Negro" para difundir puertas traseras de control remoto falsificadas para descargas de Notepad++. Informe técnico conjunto.
• Lakshmanan, R. (7 de enero de 2026). El gato negro detrás de una campaña de malware que envenena SEO y se dirige a búsquedas de software populares. Artículo periodístico basado en el informe técnico.
• Análisis previos de ThreatBook sobre la actividad del grupo "Black Cat" (Octubre 2024, etc.).

• v1.0 (08-Ene-2024): Creación inicial del informe basado en el artículo y el informe técnico de CNCERT/CC y ThreatBook del 7 de enero de 2026. Estructuración según el formato solicitado.

#BlackCat #SEOPoisoning #Malware #Backdoor #DataTheft #Phishing #DriveByDownload #China #CNCERT #ThreatBook #NotepadPlusPlus #InfoStealer #Keylogger #C2 #Botnet #Cybercrime #TTPs #IOCs