Investigadores han descubierto recientemente una nueva variante para el Botnet Prometei, se ha visto que la actividad de esta ha ido en aumento estos últimos meses.
En febrero de 2025, un análisis de una muestra reciente de malware reveló que la amenaza mantenía su persistencia en los sistemas afectados mediante la creación de un servicio del sistema y la programación de una tarea cron. A diferencia de variantes anteriores, esta muestra no incluía un grupo de minería codificado, pero sí era capaz de recibir y ejecutar comandos adicionales enviados por sus operadores.
La variante más reciente, detectada en marzo de 2025, fue encontrada empaquetada con Ultimate Packer for eXecutables (UPX), lo que reduce su tamaño y complica su análisis por parte de herramientas de seguridad.
¿Qué es Prometei?
Es una Botnet modular de tipo gusano y fue descubierto por primera vez en 2020, aunque se tienen algunas suposiciones que existía desde 2016. Puede afectar sistemas operativos como Windows y Linux. Su objetivo principal es hacer la minería de criptomonedas, aunque también puede permitir exfiltración de credenciales y despliegue de puertas traseras.
¿Qué alcance tiene?
Estimaciones indican que el Botnet incluye más de 10,000 sistemas infectado a nivel mundial, cubriendo al menos 155 países afectados.
¿Cómo se lleva acabo el ataque?
Primero el atacante necesita tener acceso a la red y esto comúnmente lo hacen con métodos típicos como: EternalBLue(SMBv1), ProxyLogon, o contraseñas robadas o débiles, también pueden intentar hacer un escaneo de red que permite detectar que equipos son vulnerables.
Una vez el equipo se encuentre debilitado se procede con la instalación del malware por lo cual Prometei hace lo siguiente:
- Copia un archivo principal llamado por ejemplo sqhost.exe o zsvc.exe a C:\Windows\.
- Crea una clave en el registro para ejecutarse al iniciar Windows.
- Modifica el firewall de Windows para no ser bloqueado.
- Instala el minero de criptomonedas (XMRig) que empieza a usar la CPU en segundo plano.
- Se conecta a un servidor de Comando y Control (C2) para recibir más instrucciones.
Cuando Prometei haya logrado entrar al sistema buscara la forma de obtener credenciales de otros equipos, generalmente utiliza herramientas como Mimikats, Drumps de procesos o captura contraseñas de Windows, etc.
Si Prometei logra obtener credenciales de otra maquina procede hacer un movimiento lateral y esto hace crecer la Botnet.
En algunos ataques, Prometei puede dejar un web Shell en servidores vulnerables como Apache o Exchange, esto le permite subir y bajar archivos o ejecutas comandos.
El malware es capaz de comunicarse con servidores C2 mediante HTTP o HTTPS, Red TOR o I2P, también se puede actualizar a sí mismo o se puede volver a ejecutar si el equipo se reinicia.
Recomendaciones
- Mantener Exchange y Windows parcheados, especialmente contra ProxyLogon, SMB/MS17-10, BlueKeep, etc.
- Monitorizar tráfico anómalo, conexiones HTTP/Tor, actividad en puertos no usuales.
- Implementar detección y respuesta (EDR/XDR) que identifique los procesos sqhost.exe, zsvc.exe, XMRig u otros patrones maliciosos.
- Segmentar red, restringir RDP/SMB y exigir MFA + autenticación robusta.
- Analizar equipos infecciosos, limpiar malware, rotar credenciales y aplicar endurecimiento post-incidente.
