  2025Ravie Lakshmananai Security / InfoTentes de Infentes, el actor de amenaza de motivación financiera conocido como CiCryPTHUB (también conocido como Larva-208 y Water Gamayun) se ha atribuido a una nueva campaña que se dirige a los desarrolladores de Web3 para infectarlos con el malware de robador de información. «Larva-208 ha evolucionado sus tácticas, utilizando plataformas de IA falsas (por ejemplo, Norlax AI, imitando a TeamPilot) para atraer a las víctimas con ofertas de trabajo o solicitudes de revisión de cartera», dijo ProDaft de la compañía de seguridad cibernética Swiss en un comunicado compartido con Hacker News. Si bien el grupo tiene un historial de despliegue de ransomware, los últimos hallazgos demuestran una evolución de sus tácticas y una diversificación de sus métodos de monetización mediante el uso de malware Stealer para cosechar datos de billeteras de criptomonedas. Muchos operan como trabajadores independientes o trabajan en múltiples proyectos descentralizados, lo que los hace más difíciles de proteger con los controles de seguridad empresariales tradicionales. Esta comunidad de desarrolladores descentralizada y de alto valor presenta un objetivo ideal para los atacantes que buscan monetizar rápidamente sin desencadenar defensas centralizadas. Las cadenas de ataque implican dirigir los posibles objetivos a plataformas engañosas de inteligencia artificial (IA) y engañarlos para que haga clic en supuestos enlaces de reuniones dentro de estos sitios. Los enlaces de reuniones a estos sitios se envían a los desarrolladores que siguen el contenido relacionado con Web3 y blockchain a través de plataformas como X y Telegram con el pretexto de una entrevista de trabajo o discusión de cartera. También se ha encontrado que los actores de amenaza envían los enlaces de reunión a las personas que solicitaron puestos publicados por ellos en un tablero de trabajo Web3 llamado Remote3. Lo interesante es el enfoque utilizado por los atacantes para evitar advertencias de seguridad emitidas por Remote3 en su sitio. Dado que el servicio advierte explícitamente a los solicitantes de empleo contra la descarga del software de videoconferencia desconocido, los atacantes realizan una conversación inicial a través de Google Meet, durante la cual instruyen al solicitante que reanude la entrevista en Norlax AI. Independientemente del método utilizado, una vez que la víctima hace clic en el enlace de la reunión, se les pide que ingresen su dirección de correo electrónico y código de invitación, después de que se les cumple un mensaje de error falso sobre los controladores de audio desactualizados o faltantes. Al hacer clic en el mensaje, conduce a la descarga de software malicioso disfrazado de un genuino controlador de audio Realtek HD, que ejecuta comandos de PowerShell para recuperar e implementar el roble. La información recopilada por el malware del robador se transmite a un servidor externo llamado SilentPrism. «Los actores de amenaza distribuyen infantes de infantes como voluble a través de aplicaciones falsas de IA, cosechando con éxito billeteras de criptomonedas, credenciales de desarrollo y datos confidenciales de proyectos», dijo ProDaft. «Esta última operación sugiere un cambio hacia estrategias de monetización alternativas, incluida la exfiltración de datos valiosos y credenciales para una posible reventa o explotación en mercados ilícitos». El desarrollo se produce cuando Trustwave SpiderLabs detalló una nueva cepa de ransomware llamada Kawa4096 que «sigue el estilo del grupo de ransomware Akira, y un formato de nota de rescate similar al de Qilin, probablemente un intento de enriquecer aún más su visibilidad y credibilidad». Se dice que Kawa4096, que surgió por primera vez en junio de 2025, se dirigió a 11 compañías, con la mayor cantidad de objetivos ubicados en los Estados Unidos y Japón. Se desconoce el vector de acceso inicial utilizado en los ataques. Una característica notable de Kawa4096 es su capacidad para cifrar archivos en unidades de red compartidas y el uso de la lectura múltiple para aumentar la eficiencia operativa y acelerar el proceso de escaneo y cifrado. «Después de identificar archivos válidos, el ransomware los agrega a una cola compartida», dijeron los investigadores de seguridad Nathaniel Morales y John Basmayor. «Esta cola es procesada por un grupo de hilos de trabajadores, cada uno responsable de recuperar rutas de archivos y transmitirla a la rutina de cifrado. Se utiliza un semáforo para la sincronización entre los subprocesos, asegurando el procesamiento eficiente de la cola de archivos». Otro nuevo participante del paisaje de ransomware es Crux, que afirma ser parte del Grupo Blackbyte y se ha desplegado en la naturaleza en tres incidentes detectados los días 4 y 13 de julio de 2025, por cazadora. En uno de los incidentes, se ha encontrado que los actores de amenaza aprovechan las credenciales válidas a través de RDP para obtener un punto de apoyo en la red de destino. Común a todos los ataques es el uso de herramientas legítimas de Windows como svchost.exe y bcdedit.exe para ocultar comandos maliciosos y modificar la configuración de arranque para inhibir la recuperación del sistema. «El actor de amenaza también tiene preferencia por los procesos legítimos como bcdedit.exe y svchost.exe, por lo que el monitoreo continuo para un comportamiento sospechoso utilizando estos procesos a través de la detección y respuesta del punto final (EDR) puede ayudar a Suss a los actores de amenaza en su entorno», dijo Huntress.