Investigadores han detectado una campaña que suplanta a la empresa de seguridad ESET para distribuir instaladores trojanizados. En lugar del software legítimo, el instalador despliega el backdoor conocido como Kalambur en equipos de víctimas en Ucrania. La actividad, observada desde mayo de 2025, ha sido rastreada hasta el clúster InedibleOchotense , un actor con alineamiento ruso.
ESET Suplantado: Kalambur Backdoor y Riesgo de Suministro Social
El ataque utiliza la confianza institucional en una marca de seguridad (ESET) para lograr que las víctimas ejecuten un malware que les otorga acceso remoto persistente.
Mecanismo del Engaño
- Phishing Dirigido: Los objetivos reciben mensajes de phishing con enlaces o adjuntos que aparentan ser instaladores legítimos de ESET.
- Dropper Trojanizado: Al ejecutar el instalador, este despliega un dropper que instala el backdoor Kalambur .
- Post-Explotación Persistente: Kalambur proporciona al atacante acceso remoto persistente para:
- Ejecución remota de comandos.
- Subida/descarga de archivos.
- Captura de datos.
- Comunicación cifrada con servidores de Comando y Control (C2).
- Uso final: Los adversarios usan esta telemetría para reconocimiento, movimiento lateral y exfiltración de datos.
Por Qué la Suplantación de un AV es Crítica
- Evasión Social: Usar el nombre de un proveedor de AV (ESET) eleva la probabilidad de confianza del usuario y elude muchas políticas básicas de bloqueo (supply-chain social).
- Contexto Geopolítico: El blanco principal (entidades ucranianas) encaja con campañas alineadas geopolíticamente que buscan espionaje prolongado o sabotaje.
- Persistencia Larga: El backdoor Kalambur permite al atacante mantener acceso aun si el incidente inicial es detectado, lo que garantiza la persistencia.
Recomendaciones
La mitigación prioritaria es la educación contra el phishing y la verificación estricta de la fuente de suministro de software.
- Verificación de Suministro y Ejecución (IT / Usuarios)
- Descargar Solo del Sitio Oficial: Nunca ejecutar instaladores desde enlaces o adjuntos de correo. Siempre descargue software de seguridad desde el sitio oficial del proveedor y verifique firmas o hashes proporcionados por el vendedor.
- Verificación de Firmas: Verificar las firmas digitales del instalador. Si el instalador no coincide con la firma oficial, no ejecutarlo.
- Bloqueo de Infraestructura: Bloquear dominios y URLs usados para la campaña (IoC) en el proxy o WAF.
- Detección y Threat Hunting (SOC / CSIRT)
- Buscar Artefactos de Kalambur: Actualizar EDR/AV y ejecutar escaneos completos. Cree reglas de detección para patrones de droppers (instaladores que descomprimen binarios en carpetas temporales o de App Data) y para artefactos asociados a Kalambur .
- Actividad Post-Explotación: Realizar caza proactivo buscando:
- Conexiones a C2 inusuales.
- Nuevos servicios de escucha en puertos atípicos.
- Creación de usuarios o tareas programadas no autorizadas.
- Correlación: Correlacionar logs de proxy, EDR y correo para identificar a todos los destinatarios de los mensajes de phishing y contener rápidamente las cuentas comprometidas.
- Respuesta a incidentes
- Aislamiento y Forense: En caso de sospecha, aislar inmediatamente el host o hosts afectados, capturar memoria y volcán de disco, y activar una respuesta forense completa antes de reconectar.
- Rotación Crítica: Rotar credenciales y forzar MFA para cualquier cuenta con acceso sensible si se confirma la exposición.
