Un nuevo aliado para los ciberdelincuentes
Desde inicios de 2025, investigadores de Prodaft han detectado un aumento significativo en el uso de Skitnet, también conocido como Bossnet, entre grupos de ransomware. Aunque este malware se empezó a comercializar en foros clandestinos como RAMP desde abril de 2024, su adopción masiva se ha acelerado recientemente.
Entre los grupos que ya lo están utilizando se encuentran BlackBasta, en campañas de phishing a través de Microsoft Teams, y Cactus, lo que demuestra su efectividad en escenarios reales.
Cómo funciona Skitnet: ingeniería sigilosa en acción
Skitnet es una herramienta de post-explotación sofisticada. La infección comienza con un loader escrito en Rust, que ejecuta un binario en Nim cifrado con ChaCha20, el cual se carga directamente en la memoria del sistema comprometido.
El componente en Nim establece un shell reverso sobre DNS, utilizando consultas DNS aleatorias para iniciar la sesión con el servidor de comando y control (C2). El malware opera con tres hilos:
- Uno para enviar solicitudes “heartbeat” vía DNS.
- Otro para exfiltrar y monitorear la salida del shell.
- Y uno más para escuchar y descifrar comandos recibidos en respuestas DNS.
Además, puede alternar entre comunicación HTTP o DNS, según las órdenes del panel de control de C2, desde donde el operador puede ver la IP del objetivo, su localización y estado, además de emitir comandos.
Comandos que permiten el control total del sistema
Skitnet incluye una serie de comandos diseñados para asegurar persistencia, vigilancia, control remoto y evasión de defensas:
- startup: Crea persistencia mediante un ataque de DLL hijacking usando un ejecutable legítimo de Asus.
- Screen: Captura pantallas con PowerShell y las sube a Imgur, enviando la URL al C2.
- Anydesk y Rutserv: Instalan silenciosamente herramientas legítimas de acceso remoto.
- Shell: Abre un bucle de comandos PowerShell que se comunica cada 5 segundos con el C2.
- Av: Enumera soluciones antivirus instaladas usando consultas WMI.
También incluye un loader en .NET, que permite ejecutar scripts PowerShell directamente en memoria, incrementando la capacidad de personalización del ataque.
¿Por qué Skitnet está ganando popularidad?
Aunque los grupos de ransomware suelen desarrollar herramientas a medida, esto requiere tiempo, habilidades especializadas y costos elevados. En cambio, usar un malware “listo para usar” como Skitnet ofrece ventajas:
- Es más económico y rápido de desplegar.
- Tiene funcionalidades avanzadas listas para operar.
- Reduce la atribución, ya que múltiples actores pueden usarlo simultáneamente.
En un panorama donde los ataques se industrializan cada vez más, Skitnet representa una solución atractiva para grupos de todos los niveles, desde los más sofisticados hasta los emergentes.
Conclusión
Skitnet es una amenaza emergente que combina sigilo, funcionalidad y accesibilidad. Su adopción por parte de grupos de ransomware consolidados lo convierte en una herramienta a tener muy en cuenta por los equipos de defensa y respuesta ante incidentes. La vigilancia activa y la detección temprana de sus patrones de comportamiento serán clave para mitigar su impacto.
