Meta News

Por MSB

Una nueva amenaza basada en Python está encendiendo las alarmas en la comunidad de ciberseguridad. Investigadores han identificado un backdoor avanzado denominado DEEP#DOOR, capaz de mantener acceso persistente y robar credenciales tanto locales como en la nube mediante el uso de servicios de túnel público.

La cadena de infección comienza con la ejecución de un script malicioso (install_obf.bat) que desactiva controles de seguridad en Windows y extrae dinámamente un payload en Python oculto dentro del propio archivo.

Este enfoque reduce la dependencia de infraestructura externa, dificultando la detección forense y permitiendo que el malware opere con mayor sigilo.

Una vez ejecutado, el backdoor establece múltiples mecanismos de persistencia:

• Scripts en la carpeta de inicio
• Claves de registro (Run keys)
• Tareas programadas
• Suscripciones WMI

Además, incorpora mecanismos de autocorrección que restauran estos componentes si son eliminados, complicando la remediación.

El elemento más distintivo del ataque es el uso de un servicio de tunneling público llamado bore[.]pub como canal de comando y control.

En lugar de depender de servidores dedicados, los atacantes:

• Encapsulan la comunicación dentro de túneles TCP legítimos
• Ocultan el tráfico malicioso dentro de flujos aparentemente normales
• Eliminan la necesidad de infraestructura propia

Esto permite que el malware pase desapercibido en redes corporativas y dificulta su bloqueo sin afectar servicios legítimos.

El backdoor ofrece un amplio conjunto de funcionalidades orientadas al espionaje:

• Ejecución remota de comandos (reverse shell)
• Keylogging y monitoreo del portapapeles
• Captura de pantalla y acceso a webcam
• Grabación de audio ambiental
• Robo de credenciales de navegadores
• Extracción de claves SSH
• Acceso a credenciales en la nube (AWS, Google Cloud, Azure)

Este nivel de acceso convierte a DEEP#DOOR en una herramienta altamente peligrosa para entornos empresariales.

El malware incorpora múltiples técnicas para evitar ser detectado:

• Detección de sandbox, máquinas virtuales y debuggers
• Manipulación de Microsoft Defender
• Bypass de SmartScreen
• Supresión de logs y limpieza de rastros
• Modificación de timestamps

También desactiva mecanismos como AMSI y ETW, reduciendo la visibilidad de las herramientas de seguridad tradicionales.

Este tipo de amenazas refleja una tendencia clara: el uso de lenguajes interpretados como Python para crear malware flexible, portable y difícil de detectar.

Además, el uso de servicios legítimos —como plataformas de tunneling— indica un cambio hacia ataques que se mimetizan completamente con el tráfico normal.

DEEP#DOOR representa una evolución significativa en los backdoors modernos. No solo por su capacidad de robo de credenciales, sino por su enfoque en ocultarse dentro de infraestructuras legítimas y minimizar su huella.

Para equipos de seguridad, el desafío ya no es solo detectar malware, sino identificar comportamientos anómalos dentro de servicios aparentemente confiables.