Silver Fox - ABCDoor Backdoor (Kaspersky Securelist)

Fuente: Silver Fox uses the new ABCDoor backdoor to target organizations in Russia and India Publicado: 30 Abril 2026

Resumen Ejecutivo

Silver Fox (APT) despliega una campana de phishing fiscal contra organizaciones en Rusia e India, entregando ValleyRAT y un nuevo backdoor Python llamado ABCDoor. Mas de 1.600 correos maliciosos registrados entre enero y febrero 2026.

Campana de Phishing

Diciembre 2025: Ola contra India - emails suplantando el Indian Tax Service (ITD/GST)
Enero 2026: Ola contra Rusia - emails suplantando el Servicio Federal de Impuestos (FNS)
Metodo: PDF con enlaces a archivos ZIP que contienen loaders, o adjuntos RAR con ejecutablesdisfrazados

IOCs de distribucion:

abc.haijing88[.]com - servidor de distribucion de PDFs y archivos
Dominio de C2: mcagov[.]cc, roldco[.]com

Cadena de Ataque

Email phishing → PDF con enlace → ZIP/RAR → RustSL Loader → Shellcode → ValleyRAT Online Module → Login Module → Plugins → ABCDoor

Silver Fox RustSL Loader

Version modificada del loader publico RustSL (GitHub, descripcion en chino)
8 metodos de cifrado de payload, 13 metodos de allocacion, 12 detecciones de sandbox/VM, 13 metodos de ejecucion
Modulo steganography.rs: desencriptacion custom XOR-based del payload
Modulo guard.rs: geofencing por pais (India, Indonesia, Sudfrica, Rusia, Camboya, Japon)
Phantom Persistence: tecnica que intercepta senal de apagado y fuerza reinicio para persistencia
Verifica pais via: ip-api.com, ipwho.is, ipinfo.io, ipapi.co, www.geoplugin.net

Formato de payload cifrado:

Marcadores <RSL_START> / <RSL_END>
SHA256 hash del payload, XOR multi-paso con clave RSL_STEG_2025_KEY
Codificaciones: Base64, Base32, Hex, urlsafe_base64

ValleyRAT (Winos 4.0)

C2: 207.56.138[.]28:6666
Configuracion en registro: HKCU:\Console\0 (x86), HKCU:\Console\1 (x64)
Plugins custom 保86.dll / 保86.dll_bin descargan y ejecutan ABCDoor
PDB path: C:\Users\Administrator\Desktop\bat\Release\winos4.0测试插件.pdb (“test plugin”)

ABCDoor Backdoor (Nuevo)

Backdoor Python previamente no documentado, compilado con Cython 3.0.7.

Persistencia:

Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient
Task Scheduler: tarea “AppClient” ejecutandose cada minuto
Se instala en C:\ProgramData\Tailscale (disfrazado como VPN Tailscale)

Comunicaciones:

asyncio + Socket.IO sobre HTTPS
C2 addresses con subdominio abc. caracteristico

Clases principales:

MainManager: conexion C2 y autorizacion
MessageManager: registro y ejecucion de handlers
AutoStartManager: persistencia
ClientManager: actualizacion y eliminacion
SystemInfoManager: recopilacion de datos, screenshots
RemoteControlManager: control remoto (raton/teclado via pynput), grabacion de pantalla (ffmpeg + DDA API)
FileManager: operaciones filesystem
ClipboardManager: exfiltracion de portapapeles
CryptoManager: cifrado DPAPI (funciones asimetricas sin implementar)

Sin shell remota ni ejecucion arbitraria de comandos. Alternativas:

Emulacion de doble clic + broadcast de pantalla
os.startfile para ejecutar archivos con handler por defecto

Artefactos detectables:

HKCU\Software\CarEmu:FirstInstallTime - timestamp de instalacion
%LOCALAPPDATA%\applogs\device.log - ID de victima
%LOCALAPPDATA%\applogs\exception_logs.zip - logs de excepciones
%TEMP%\tmpXXXXXXXX\update.zip - actualizaciones
Named object: python(<pid>): AppClientABC

Versiones de ABCDoor:

Version	Fecha (UTC)	Cambios clave
121	2024-12-19	Funcionalidad minima, GDI en ffmpeg, persistencia en registro
143	2025-02-04	Task scheduler, OOP, portapapeles, gestion de procesos, cifrado asimetrico
152	2025-04-01	DPAPI, subida de archivos por chunks
154	2025-05-09	Canales de instalacion, emulacion de combinaciones de teclas
156	2025-08-11	Log de tiempo de instalacion en registro
157	2025-08-28	DDA source en ffmpeg para multi-monitor
157	2025-09-23	Compilado con Cython 3.0.7 (antes 3.0.12)

Evolucion de Distribucion

Feb-Mar 2025: Stagers en C++ y Go
Mayo-Agosto 2025: TinyURL redirects + URLs con canales (channel=jiqi_0819, whatsapp_0826, dianhua-0903)
Noviembre 2025: JS loader entregado via SFX archives dentro de ZIPs
SFX instala NodeJS 22.19.0 si no esta presente, ejecuta run.deobfuscated.obf.js
Log en chino en cada paso

Victims

Sectores: industrial, consulting, retail, transporte
Paises target: India, Rusia, Indonesia, Sudfrica, Camboya, Japon
Mayor numero de ataques: India, Rusia, Indonesia

Indicadores de Compromiso (IOCs)

C2 de ABCDoor:

45.118.133[.]203:5000
abc.fetish-friends[.]com
abc.3mkorealtd[.]com
abc.sudsmama[.]com
abc.woopami[.]com
abc.ilptour[.]com
abc.petitechanson[.]com
abc.doublemobile[.]com

C2 de loader ABCDoor: mcagov[.]cc, roldco[.]com C2 de VNC malicioso: vnc.kcii2[.]com Servidor de distribucion: abc.haijing88[.]com

ValleyRAT C2: 108.187.37[.]85, 108.187.42[.]63, 207.56.138[.]28

IPs adicionales: 108.187.41[.]221, 154.82.81[.]192, 139.180.128[.]251, 192.229.115[.]229, 207.56.119[.]216, 192.163.167[.]14, 45.192.219[.]60, 192.238.205[.]47, 45.32.108[.]178, 57.133.212[.]106, 154.82.81[.]205

Deteccion Blue Team

Reglas de deteccion sugeridas:

Monitorear cmd.exe ejecutando descarga e instalacion silenciosa de Node.js (nodejs_dist_url_amsi)
Alertar sobre accesos a servicios de deteccion de IP desde procesos no-navegador (access_to_ip_detection_services_from_nonbrowsers)
Detectar modificacion de UserInitMprLogonScript en HKCU\Environment (persistence_via_environment)
Buscar tareas programadas “AppClient” con ejecucion cada minuto
Buscar pythonw.exe -m appclient en procesos
Verificar HKCU\Software\CarEmu para marcas de instalacion de ABCDoor
Alertar sobre %LOCALAPPDATA%\applogs\device.log como artefacto
Monitorear conexiones a dominios con subdominio abc. y puertos 5000

Analisis Forense - Puntos Clave

Phishing fiscal como vector: explotan la urgencia percibida de comunicaciones de autoridades fiscales
PDF con enlace para evadir gateways de email (sin codigo malicioso en el adjunto)
Cadena multi-stage: loader → shellcode → RAT → backdoor, con segmentacion de infraestructura
Living off the land: usa pythonw.exe, ffmpeg.exe, schtasks, reg add, PowerShell
TTPs consistentes con APT chino: geofencing, multi-VM evasion, cifrado custom, PDB paths en chino
Evolucion continua: ABCDoor paso de v121 (dic 2024) a v157 (sep 2025) con mejoras iterativas

Guia de Estudio: Silver Fox - ABCDoor Backdoor

Nota previa

Este documento acompana la nota forense publicada por Kaspersky Securelist el 30 de abril de 2026. Su proposito es deconstruir el caso para un candidato CySA+, asumiendo conocimientos solidos de redes y sistemas operativos pero sin experiencia previa en analisis de amenazas avanzadas.

1. CONCEPTO BASE: Los componentes explicados sin jerga

RustSL Loader

Definicion: Es el “portero” del ataque. Un programa escrito en Rust cuyo unico trabajo es descargar, desencriptar y ejecutar el siguiente paso de la cadena sin que el antivirus ni el usuario se den cuenta.

Analogia: Imagina un mensajero que lleva un cofre cerrado con multiples candados. Su mision es abrir cada candado en el orden correcto, entregar lo que hay dentro a la persona indicada, y no dejar rastro de que paso por ahi. Si algun candado no se abre (porque detecta que esta en un laboratorio de analisis), el mensajero se da la vuelta y se va sin hacer nada.

ValleyRAT (Winos 4.0)

Definicion: Es un “caballo de Troya” comercial. Un troyano de acceso remoto (RAT) ya conocido y utilizado por multiples grupos, que permite al atacante controlar el ordenador victima a distancia: ver la pantalla, mover el raton, ejecutar modulos adicionales y robar configuraciones.

Analogia: Es como si alguien instalara una aplicacion de teleasistencia (tipo TeamViewer) en tu ordenador sin que lo supieras, pero en lugar de un tecnico de soporte, al otro lado hay un atacante que puede hacer lo que quiera.

ABCDoor Backdoor

Definicion: Es el “residente permanente”. Un backdoor (puerta trasera) escrito en Python y compilado con Cython, que se instala en el sistema, se esconde disfrazado de aplicacion legitima (Tailscale VPN) y mantiene una comunicacion constante con el servidor del atacante para recibir ordenes: capturar pantalla, copiar archivos, controlar el raton y teclado, entre otras.

Analogia: Si ValleyRAT es el tecnico que entra a instalar la camara oculta, ABCDoor es la camara oculta misma: permanece encendida 24/7, envia grabaciones al exterior y es dificil de encontrar porque esta disfrazada de un dispositivo normal de la casa.

Relacion entre los tres

RustSL Loader  -->  (entrega y lanza)  -->  ValleyRAT
ValleyRAT      -->  (descarga modulos) -->  ABCDoor
ABCDoor        -->  (se instala y opera) -->  Acceso persistente

No son tres ataques independientes. Son tres eslabones de una misma cadena. RustSL abre la puerta, ValleyRAT entra y monta el campamento, y ABCDoor es el agente definitivo que se queda a vivir alli.

2. CADENA DE ATAQUE PASO A PASO

Paso 1: El correo de phishing

Que ocurre: La victima recibe un correo electronico que aparenta provenir de la autoridad fiscal de su pais. En India suplanta al Indian Tax Service (ITD/GST). En Rusia suplanta al Servicio Federal de Impuestos (FNS). El correo contiene un PDF adjunto o un enlace a un PDF.

Por que lo hacen asi:

Los correos fiscales generan urgencia. La gente teme problemas con Hacienda y tiende a actuar rapido sin pensar.
Usar un PDF (en vez de un ejecutable) es deliberado: los gateways de email revisan archivos ejecutables con mucha mas intensidad que los PDF. Un PDF con un enlace dentro es mas facil de pasar por los filtros que un .exe adjunto.

Que debes entender para el CySA+: El phishing sigue siendo el vector de acceso inicial mas comun. Aqui el atacante no necesita explotar una vulnerabilidad tecnica: explota la psicologia humana (ingenieria social).

Paso 2: El PDF con enlace

Que ocurre: Cuando la victima abre el PDF, este contiene un enlace que lleva a un servidor controlado por el atacante. El servidor devuelve un archivo ZIP o RAR comprimido.

Por que lo hacen asi:

Separar el correo del payload malicioso en dos pasos dificulta el analisis automatizado. El escaner de email ve un PDF inocuo. El enlace solo se activa cuando alguien hace clic manualmente.
El archivo comprimido (ZIP/RAR) puede cifrar el contenido, lo que evita que los antivirus lo analicen sin la contrasena. Esto se denomina “password-protected archive” y es una evasion clasica.

Servidor de distribucion identificado: abc.haijing88[.]com

Paso 3: RustSL Loader ejecuta el shellcode

Que ocurre: El archivo comprimido contiene un ejecutable disfrazado (por ejemplo, con icono de PDF o documento de oficina). Este ejecutable es el RustSL Loader. Al ejecutarse:

Comprueba si esta en un sandbox o maquina virtual. RustSL tiene 12 metodos distintos de deteccion. Si detecta un entorno de analisis, se detiene y no ejecuta nada. Esto evita que los investigadores lo estudien facilmente.
Verifica el pais de la victima. Consulta servicios de geolocalizacion IP (ip-api.com, ipinfo.io, etc.) y solo continua si el pais es India, Indonesia, Sudfrica, Rusia, Camboya o Japon.
Desencripta el payload oculto. El payload esta embebido en el propio loader usando steganografia y cifrado XOR con la clave RSL_STEG_2025_KEY. Los marcadores <RSL_START> y <RSL_END> delimitan el contenido cifrado.
Ejecuta el shellcode en memoria. El shellcode se carga directamente en memoria RAM (fileless), lo que significa que no se escribe ningun archivo adicional en disco. Esto dificulta enormemente la deteccion por antivirus tradicionales.

Por que lo hacen asi:

La deteccion de sandbox/VM es la primera linea de defensa del atacante contra los analistas. Si el malware detecta que lo estan estudiando, simplemente no se ejecuta.
El geofencing evita que el malware se propague a paises no deseados (por ejemplo, China, donde estan los propios atacantes), reduciendo el riesgo de que se investigue.
La ejecucion en memoria (fileless) es una de las tecnicas mas dificiles de detectar porque no hay un archivo en disco que analizar.

Tecnica especial - Phantom Persistence: Antes de ejecutar el shellcode, RustSL intercepta la senal de apagado del sistema operativo. Si el usuario intenta apagar el ordenador, fuerza un reinicio en su lugar. Esto garantiza que el proceso de instalacion no se interrumpa.

Paso 4: ValleyRAT se instala

Que ocurre: El shellcode descarga e instala ValleyRAT (Winos 4.0). ValleyRAT:

Se registra en el sistema operativo, almacenando su configuracion en el registro de Windows: HKCU:\Console\0 para sistemas de 32 bits, HKCU:\Console\1 para 64 bits.
Se conecta a su servidor de mando y control (C2): 207.56.138[.]28:6666
Descarga modulos adicionales (plugins). Los modulos criticos aqui son 保86.dll y 保86.dll_bin (nombres en chino).

Por que lo hacen asi:

ValleyRAT es un RAT conocido y probado. Los atacantes no necesitan desarrollar toda la funcionalidad desde cero. Reutilizar herramientas existentes es eficiente.
Los plugins permiten modularidad: el atacante solo descarga lo que necesita en cada momento, reduciendo la huella en el sistema y dificultando el analisis estatico.
Almacenar configuracion en claves de registro aparentemente normales (HKCU:\Console) es una tecnica de ocultacion: un analista que no conozca el truco no revisara esa clave.

Paso 5: ABCDoor se despliega

Que ocurre: Los plugins de ValleyRAT descargan y ejecutan el backdoor ABCDoor. La instalacion de ABCDoor es meticuloosa:

Se instala en C:\ProgramData\Tailscale, disfrazandose como el software VPN legítimo Tailscale. Un usuario o administrador que vea esa carpeta pensara que es software normal.
Configura persistencia por dos vias simultaneas:
- Clave de registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient (se ejecuta cada vez que el usuario inicia sesion).
- Tarea programada: tarea “AppClient” en el Programador de Tareas que se ejecuta cada minuto. Si la persistencia por registro falla, la tarea programada lo relanza.
Se ejecuta con pythonw.exe (Python sin ventana visible). El usuario no ve nada en pantalla.

Por que lo hacen asi:

Doble persistencia (registro + tarea programada) es redundancia. Si un SOC elimina una, la otra sigue funcionando.
Ejecutarse cada minuto es agresivo, pero garantiza que si algo interrumpe el proceso, el tiempo muerto es maximo 60 segundos.
Disfrazarse de Tailscale es ingenieria social contra los administradores. Tailscale es una VPN legítima que muchas empresas usan, asi que no levanta sospechas en una inspeccion visual.

Paso 6: Comunicacion C2 y operacion

Que ocurre: ABCDoor establece comunicacion con su servidor de mando y control usando Socket.IO sobre HTTPS. Los dominios C2 tienen una caracteristica notable: todos usan el subdominio abc.:

abc.fetish-friends[.]com
abc.3mkorealtd[.]com
abc.sudsmama[.]com
abc.woopami[.]com
Y otros…

Una vez conectado, el operador puede:

Capturar pantalla: ABCDoor usa ffmpeg.exe con la API DDA (Desktop Duplication API) para grabar la pantalla. Soporta multiples monitores (desde version 157).
Controlar raton y teclado: Usa la libreria pynput para emular acciones del usuario. Esto permite que el atacante interactue con la interfaz grafica como si estuviera sentado frente al ordenador.
Gestionar archivos: Puede listar, copiar, subir y descargar archivos del sistema victima.
Exfiltrar portapapeles: El modulo ClipboardManager roba todo lo que el usuario copia (contrasenas, datos bancarios, etc.).
Ejecutar archivos: Aunque no tiene shell remota (no puede escribir comandos en un terminal), usa os.startfile para abrir cualquier archivo con su aplicacion por defecto, y emula doble clic para interactuar con la interfaz grafica.

Por que no tiene shell remota: Esto es notable. La falta de shell remota sugiere que ABCDoor esta disenado para operaciones donde el atacante prefiere interactuar visualmente con el escritorio de la victima (posiblemente para operaciones bancarias o para acceder a aplicaciones empresariales que requieren GUI), en lugar de ejecutar comandos tecnicos. Esto es comun en amenazas orientadas al fraude financiero.

Por que lo hacen asi:

HTTPS (puerto 443 o 5000 con TLS) dificulta distinguir el trafico C2 del trafico web normal.
Socket.IO permite comunicacion bidireccional en tiempo real (el servidor puede enviar ordenes espontaneamente, sin esperar a que el cliente pregunte).
Multiples dominios C2 proporcionan resiliencia: si uno cae, se conecta a otro.

Paso 7: Persistencia a largo plazo y actualizaciones

Que ocurre: ABCDoor se actualiza a si mismo descargando update.zip desde el C2 a la carpeta %TEMP%\tmpXXXXXXXX\. Mantiene un registro de instalacion en HKCU\Software\CarEmu:FirstInstallTime y logs en %LOCALAPPDATA%\applogs\.

Por que lo hacen asi:

La capacidad de actualizacion permite al atacante mejorar el backdoor sin necesidad de reinfectar. Esto extiende la vida util del compromiso.
Los timestamps de instalacion ayudan al atacante a gestionar su inventario de victimas.

Resumen visual de la cadena

FASE 1 - ENTREGA
  Correo phishing (suplantacion fiscal)
       |
       v
  PDF con enlace (evasion de gateway email)
       |
       v
  ZIP/RAR protegido con contrasena (evasion de antivirus)

FASE 2 - EJECUCION INICIAL
  RustSL Loader (.exe disfrazado)
       |-- Deteccion de sandbox/VM (12 metodos)
       |-- Geofencing (6 paises)
       |-- Desencriptacion XOR + steganografia
       |-- Phantom Persistence (anti-apagado)
       v
  Shellcode en memoria (fileless)

FASE 3 - ESTABLECIMIENTO
  ValleyRAT / Winos 4.0
       |-- Registro en HKCU:\Console
       |-- C2: puerto 6666
       |-- Plugins: descarga modular
       v
  ABCDoor Backdoor (Python/Cython)
       |-- Disfrazado como Tailscale
       |-- Doble persistencia (registro + tarea)
       |-- C2 via Socket.IO/HTTPS

FASE 4 - OPERACION
  Captura de pantalla (ffmpeg + DDA)
  Control remoto (pynput: raton/teclado)
  Exfiltracion de archivos y portapapeles
  Actualizaciones desde C2

3. MAPEADO A OBJETIVOS CySA+ (CS0-003)

Dominios del examen cubiertos

Dominio CySA+	Tema	Como se cubre en este caso
Domain 1: Security Operations (25%)	1.1 - Analisis de datos de seguridad	Analisis de IOCs, trafico de red C2, artefactos de registro
	1.2 - Monitoreo de entornos	Deteccion de persistencia anomala, tareas programadas sospechosas
	1.3 - Configuracion de herramientas SIEM/SOAR	Reglas de deteccion sugeridas en la nota
	1.5 - Conceptos de amenazas e inteligencia	APT, TTPs, MITRE ATT&CK mapping, campanas de phishing
Domain 2: Vulnerability Management (22%)	2.1 - Gestion de vulnerabilidades	Uso de tecnicas de evasion (no CVEs, pero conceptos de superficie de ataque)
	2.3 - Analisis de vulnerabilidades	Evaluacion de tecnicas de evasion del loader
Domain 3: Incident Response & DFIR (22%)	3.1 - Procedimientos de respuesta a incidentes	Contencion, erradicacion y lecciones aprendidas de una infeccion APT
	3.2 - Analisis forense digital	Analisis de artefactos: registro, tareas programadas, filesystem, red
	3.3 - Analisis de datos para investigacion	Correlacion de IOCs, timeline reconstruction
Domain 4: Reporting (16%)	4.1 - Comunicar hallazgos	Redaccion de informes de incidente para audiencia tecnica y no tecnica
Domain 5: Security Architecture (15%)	5.1 - Hardening	Recomendaciones para prevenir este tipo de ataque
	5.2 - Infraestructura de seguridad	Arquitectura de deteccion (SIEM, EDR, NDR) para capturar estos TTPs

Mapping a MITRE ATT&CK (complementario al CySA+)

TTP	Técnica ATT&CK	Uso en este caso
Vector inicial	T1566.002 - Spearphishing Link	PDF con enlace
Ejecucion	T1204.002 - Malicious File	Usuario abre el ejecutable del ZIP
Persistencia	T1053.005 - Scheduled Task	Tarea “AppClient” cada minuto
Persistencia	T1547.001 - Registry Run Key	HKCU…\Run\AppClient
Evasion	T1497.001 - System Checks (VM)	12 metodos de deteccion de sandbox
Evasion	T1027 - Obfuscated Files	XOR, steganografia, multiples codificaciones
Descubrimiento	T1614.001 - Geolocation	Verificacion de pais via servicios IP
C2	T1071.001 - Web Protocols (HTTPS)	Socket.IO sobre HTTPS
Exfiltracion	T1115 - Clipboard Data	ClipboardManager
Recopilacion	T1113 - Screen Capture	ffmpeg + DDA

Preguntas tipo examen

Pregunta 1: Un analista del SOC detecta que un proceso pythonw.exe esta realizando conexiones salientes a abc.woopami[.]com por el puerto 5000. Ademas, existe una tarea programada llamada “AppClient” ejecutandose cada minuto. Cual es la accion mas apropiada como paso inmediato?

A) Agregar el dominio a la lista blanca de DNS y monitorizar B) Aislar el host de la red inmediatamente y comenzar la respuesta a incidentes C) Desinstalar Python del sistema afectado D) Reiniciar el sistema para eliminar el proceso de memoria

Respuesta: B. El patron descrito (proceso Python sin ventana conectandose a un dominio con subdominio abc. por un puerto no estandar, con persistencia via tarea programada) indica compromiso activo por un backdoor (ABCDoor). La prioridad es contener la amenaza aislando el host. La opcion A es inaceptable porque es un indicador malicioso confirmado. La opcion C no elimina el malware (se reinstalaria via la persistencia). La opcion D no elimina la persistencia (la tarea programada y el registro lo relanzarian).

Pregunta 2: Durante la investigacion de un incidente, se encuentra la clave de registro HKCU\Software\CarEmu:FirstInstallTime con un valor de timestamp. Tambien se observan archivos en %LOCALAPPDATA%\applogs\. Que fase del ciclo de vida del incidente corresponde a este analisis?

A) Contencion B) Erradicacion C) Identificacion D) Recuperacion

Respuesta: C. El analisis de artefactos del registro y el filesystem para determinar cuando se instalo el malware, que hace, y como opera corresponde a la fase de identificacion (o deteccion y analisis). La contencion seria aislar el host. La erradicacion seria eliminar el malware. La restauracion seria restaurar el sistema a un estado limpio.

Pregunta 3: Un correo phishing con un PDF adjunto que contiene un enlace a un archivo ZIP protegido con contrasena evada el filtro de email corporativo. Que principio de defensa en profundidad fallo mas criticamente?

A) El firewall de red no bloqueo el trafico al servidor C2 B) El gateway de email no analizo el contenido del enlace dentro del PDF ni el archivo comprimido protegido C) El sistema IDS no detecto la conexion de salida D) El EDR no bloqueo la ejecucion del loader

Respuesta: B. El punto de fallo mas critico fue el gateway de seguridad de email, que no aplico sandboxing al contenido del PDF (para extraer y analizar enlaces) ni pudo inspeccionar el archivo ZIP cifrado con contrasena. Esto permitio que el payload llegara al buzon del usuario. Aunque A, C y D son controles relevantes, son defensas posteriores. El fallo primario esta en la primera linea de defensa ante phishing.

Pregunta 4: Silver Fox utiliza un loader que verifica el pais de la victima consultando servicios como ip-api.com antes de ejecutar el payload. Un analista en un SOC de una empresa con sede en Espana quiere confirmar si la campana afecta a su organizacion. Que indica el geofencing del loader sobre la probabilidad de infeccion?

A) Es muy probable que el malware se ejecute, ya que los servicios de geolocalizacion son faciles de falsificar B) Es poco probable que el malware se ejecute en Espana, ya que el geofencing solo permite India, Indonesia, Sudfrica, Rusia, Camboya y Japon C) El geofencing no tiene impacto real ya que el loader siempre se ejecuta despues de la comprobacion D) Espana estaria protegida solo si usa IPv6, ya que los servicios de geolocalizacion no soportan IPv4

Respuesta: B. El loader RustSL tiene un modulo guard.rs que implementa geofencing estricto. Solo permite la ejecucion en los paises especificados (India, Indonesia, Sudfrica, Rusia, Camboya, Japon). Si el sistema de la victima se geolocaliza fuera de esos paises, el loader no ejecuta el payload. Espana no esta en la lista, por lo que la probabilidad de infeccion es baja (aunque no nula, ya que una VPN o proxy podria cambiar la geolocalizacion). La afirmacion A es incorrecta: el atacante no quiere que se falsifique, el geofencing es una restriccion intencional. C es factualmente incorrecto: el loader aborta si la verificacion falla. D es completamente irrelevante.

Pregunta 5: Durante la erradicacion de una infeccion por ABCDoor, el equipo elimina la clave de registro Run\AppClient pero no elimina la tarea programada “AppClient”. Ademas, no limpia el directorio C:\ProgramData\Tailscale. Que resultado es el mas probable?

A) El sistema estara limpio, ya que la clave de registro es el unico mecanismo de persistencia B) El malware se reejecutara en menos de 60 segundos debido a la tarea programada pendiente C) El sistema tendra un error critico por la eliminacion parcial de la persistencia D) El sistema estara seguro porque la carpeta Tailscale no contiene codigo ejecutable

Respuesta: B. ABCDoor implementa persistencia redundante: clave de registro Run (ejecucion al inicio de sesion) Y tarea programada (ejecucion cada minuto). Si solo se elimina una, la otra sigue funcionando. La tarea programada “AppClient” reejecutaria el backdoor en maximo 60 segundos. Ademas, el directorio C:\ProgramData\Tailscale contiene los archivos del backdoor, por lo que sin eliminarlo, el codigo malicioso sigue presente en disco. La erradicacion debe ser completa y eliminar todos los mecanismos de persistencia y todos los artefactos.

4. DETECCION PRACTICA: Artefactos e IOCs

4.1 Registro de Windows

4.1.1 Persistencia principal de ABCDoor

Artefacto: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient

Donde se encuentra: HKEY_CURRENT_USER, seccion Run. Esta es una de las claves mas comunes para persistencia de malware.

Como buscarlo:

# Metodo directo - PowerShell
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" | Select-Object AppClient
 
# Metodo general - buscar TODOS los valores Run sospechosos
Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" |
    Format-List *
 
# Via reg.exe (util en sistemas sin PowerShell o en scripts de respuesta)
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v AppClient

Que significaria encontrarlo: Infeccion activa o residual por ABCDoor. El valor deberia contener la ruta al ejecutable en C:\ProgramData\Tailscale\ ejecutandose con pythonw.exe.

Busqueda proactiva con SIEM/EDR:

# Pseudocodigo para regla EDR/SIEM
ALERT WHEN registry_modification(
    key_path CONTAINS "CurrentVersion\Run",
    value_name == "AppClient",
    value_data CONTAINS "pythonw.exe"
)

4.1.2 Configuracion de ValleyRAT

Artefacto: HKCU:\Console\0 (x86) y HKCU:\Console\1 (x64)

Donde se encuentra: HKEY_CURRENT_USER\Console. Estas claves normalmente contienen configuracion de la ventana de consola (colores, tamano, etc.). ValleyRAT almacena su configuracion cifrada aqui.

Como buscarlo:

# Revisar el contenido de ambas claves
Get-ItemProperty -Path "HKCU:\Console\0" -ErrorAction SilentlyContinue
Get-ItemProperty -Path "HKCU:\Console\1" -ErrorAction SilentlyContinue
 
# Buscar valores inusuales (los valores legitimos son tipicamente DWORDs pequenos)
# Un blob grande de datos binarios es sospechoso
reg query "HKCU\Console\0" /s
reg query "HKCU\Console\1" /s

Que significaria encontrarlo: Presencia de ValleyRAT. Un sistema normal tendra pocos valores (FontSize, FaceName, etc.). Si hay valores con nombres aleatorios o blobs binarios grandes, es indicador de compromiso.

Advertencia: No elimine estas claves sin confirmacion, ya que los valores legitimos de consola tambien se almacenan aqui. Compare con un sistema limpio de referencia.

4.1.3 Marca de instalacion de ABCDoor

Artefacto: HKCU\Software\CarEmu:FirstInstallTime

Donde se encuentra: HKEY_CURRENT_USER\Software\CarEmu. Una clave completamente personal, creada por el malware.

Como buscarlo:

# Busqueda directa
Get-Item -Path "HKCU:\Software\CarEmu" -ErrorAction SilentlyContinue
Get-ItemProperty -Path "HKCU:\Software\CarEmu" -ErrorAction SilentlyContinue
 
# En investigacion masiva (via EDR o script remoto)
reg query "HKCU\Software\CarEmu" /s

Que significaria encontrarlo: Confirmacion definitiva de infeccion por ABCDoor. La clave “CarEmu” no tiene razon de existir en un sistema normal. El valor FirstInstallTime indica cuando se instalo el backdoor, lo cual es crucial para la reconstruccion de la linea temporal del incidente.

Para la respuesta a incidentes: Documente el valor del timestamp inmediatamente. Determine que eventos (accesos a archivos, conexiones de red, otros compromisos) ocurrieron despues de esa fecha.

4.2 Filesystem

4.2.1 Directorio de instalacion de ABCDoor

Artefacto: C:\ProgramData\Tailscale\

Donde se encuentra: %ProgramData% es una carpeta oculta por defecto en Windows, destinada a datos de aplicaciones para todos los usuarios. ABCDoor se instala aqui disfrazado como el software VPN Tailscale.

Como buscarlo:

# Listar contenido del directorio
Get-ChildItem -Path "C:\ProgramData\Tailscale" -Recurse -Force
 
# Verificar si Tailscale esta realmente instalado en el sistema
Get-Package -Name "*Tailscale*" -ErrorAction SilentlyContinue
Get-Service -Name "*Tailscale*" -ErrorAction SilentlyContinue
 
# Buscar procesos que se ejecuten desde esta ruta
Get-Process | Where-Object { $_.Path -like "*ProgramData\Tailscale*" }
 
# CMD alternativo
dir /a /s "C:\ProgramData\Tailscale\"

Que significaria encontrarlo:

Si Tailscale esta instalado via el instalador oficial, los archivos estaran en C:\Program Files\Tailscale\ o gestionados por el servicio de Windows, NO en C:\ProgramData\Tailscale\. Encontrar un ejecutable Python en esta ruta es altamente sospechoso.
Busque archivos .pyc, .pyd, pythonw.exe o cualquier ejecutable que no coincida con los binarios oficiales de Tailscale.
Compare los hashes SHA256 de los archivos encontrados con los hashes oficiales de Tailscale.

4.2.2 Logs del dispositivo

Artefacto: %LOCALAPPDATA%\applogs\device.log

Donde se encuentra: Dentro del perfil del usuario afectado. device.log contiene el identificador unico de la victima asignado por el C2.

Como buscarlo:

# Busqueda directa
Get-Content -Path "$env:LOCALAPPDATA\applogs\device.log" -ErrorAction SilentlyContinue
 
# Busqueda en todos los perfiles de usuario (requiere admin)
Get-ChildItem -Path "C:\Users\*\AppData\Local\applogs\device.log" -ErrorAction SilentlyContinue
 
# Busqueda con dir (CMD)
dir /s /b "C:\Users\*\AppData\Local\applogs\*"

Que significaria encontrarlo: Confirmacion de infeccion. El contenido del log revela el ID de victima que el atacante usa para gestionar sus objetivos.

4.2.3 Logs de excepciones

Artefacto: %LOCALAPPDATA%\applogs\exception_logs.zip

Donde se encuentra: Junto al device.log. Contiene errores del backdoor que pueden revelar version, modulos cargados y configuracion.

Como buscarlo:

Get-ChildItem -Path "C:\Users\*\AppData\Local\applogs\exception_logs*" -Recurse

Que significaria encontrarlo: El contenido de los logs de excepciones puede contener paths internos, versiones de modulos y errores de conexion que ayudan a entender la configuracion del atacante. Es evidencia forense valiosa.

4.2.4 Archivos de actualizacion

Artefacto: %TEMP%\tmpXXXXXXXX\update.zip

Donde se encuentra: Carpeta temporal del usuario. El nombre tmp seguido de 8 caracteres aleatorios.

Como buscarlo:

# Buscar carpetas tmp sospechosas en TEMP
Get-ChildItem -Path "$env:TEMP\tmp*" -Directory |
    Get-ChildItem -Filter "update.zip" -Recurse
 
# Busqueda masiva
Get-ChildItem -Path "C:\Users\*\AppData\Local\Temp\*\update.zip" -Recurse
 
# Busqueda por nombre
where /r C:\Users update.zip

Que significaria encontrarlo: Evidencia de que el backdoor ha sido actualizado. El contenido del ZIP puede revelar nuevas funcionalidades o configuraciones desplegadas por el atacante.

4.3 Red

4.3.1 Conexiones C2 de ABCDoor

Artefactos (dominios):

Dominio	Tipo
`abc.fetish-friends[.]com`	C2 primario
`abc.3mkorealtd[.]com`	C2
`abc.sudsmama[.]com`	C2
`abc.woopami[.]com`	C2
`abc.ilptour[.]com`	C2
`abc.petitechanson[.]com`	C2
`abc.doublemobile[.]com`	C2

IP C2 directa: 45.118.133[.]203:5000

Patron caracteristico: Subdominio abc. + puerto 5000

Como buscar en el trafico:

# En logs DNS (SIEM o servidor DNS)
# Buscar cualquier subdominio "abc." a dominios no reconocidos
SELECT * FROM dns_logs
WHERE subdomain = 'abc'
AND domain NOT IN (lista_blanca_empresarial)
 
# En proxy/firewall logs - buscar conexiones al puerto 5000
SELECT * FROM firewall_logs
WHERE dest_port = 5000
AND protocol = 'TCP'
 
# En Wireshark (captura en curso o pcap)
# Filtro DNS
dns.qry.name contains "abc."
 
# Filtro conexiones al puerto 5000
tcp.dstport == 5000
 
# Con netstat en el host
netstat -anob | findstr ":5000"

Que significaria encontrarlo: Conexiones activas desde un host interno a un C2 de ABCDoor. El puerto 5000 no es un puerto estandar (HTTP=80, HTTPS=443), lo que lo hace facilmente distinguible si se monitoriza.

Regla IDS/SIEM sugerida (pseudocodigo Snort/Sigma):

# Sigma rule
title: Potential ABCDoor C2 Communication
status: experimental
logsource:
    category: dns_query
detection:
    selection:
        QueryName|startswith: 'abc.'
        QueryName|endswith:
            - 'fetish-friends.com'
            - '3mkorealtd.com'
            - 'sudsmama.com'
            - 'woopami.com'
            - 'ilptour.com'
            - 'petitechanson.com'
            - 'doublemobile.com'
    condition: selection
level: high

4.3.2 Conexiones C2 de ValleyRAT

Artefactos:

IP	Puerto
`108.187.37[.]85`	6666
`108.187.42[.]63`	6666
`207.56.138[.]28`	6666

Patron: Puerto 6666

Como buscar:

# En firewall logs
SELECT * FROM firewall_logs
WHERE dest_port = 6666
 
# En netstat del host
netstat -anob | findstr "6666"
 
# Wireshark
tcp.dstport == 6666
 
# Bloqueo inmediato via firewall
netsh advfirewall firewall add rule name="Block_ValleyRAT_C2" dir=out action=block remoteip=108.187.37.85,108.187.42.63,207.56.138.28

Que significaria encontrarlo: Conexion a un C2 conocido de ValleyRAT. El puerto 6666 es notable y no tiene uso legítimo comun en entornos empresariales.

4.3.3 Servicios de geolocalizacion

Artefacto: Conexiones a servicios de deteccion de IP desde procesos que no son navegadores.

Servicios consultados por RustSL:

ip-api.com
ipwho.is
ipinfo.io
ipapi.co
www.geoplugin.net

Como buscar:

# En logs de proxy
SELECT * FROM proxy_logs
WHERE url CONTAINS ('ip-api.com' OR 'ipwho.is' OR 'ipinfo.io' OR 'ipapi.co' OR 'geoplugin.net')
AND user_agent NOT LIKE '%Mozilla%'  -- Excluir navegadores
 
# En EDR - procesos no navegador accediendo a estos servicios
SELECT process_name, destination_ip, url FROM network_connections
WHERE destination_domain IN ('ip-api.com','ipwho.is','ipinfo.io','ipapi.co','www.geoplugin.net')
AND process_name NOT IN ('chrome.exe','firefox.exe','msedge.exe','iexplore.exe','opera.exe','brave.exe')

Que significaria encontrarlo: Un proceso distinto al navegador consultando servicios de geolocalizacion es un patron clasico de malware que realiza geofencing. Esto es un indicador de compromiso de alta confianza cuando se combina con otros artefactos.

4.3.4 Servidor de distribucion y otros

Artefactos:

Dominio/IP	Funcion
`abc.haijing88[.]com`	Distribucion de PDFs y archivos
`mcagov[.]cc`	Loader C2
`roldco[.]com`	Loader C2
`vnc.kcii2[.]com`	VNC malicioso

IPs adicionales sospechosas:

108.187.41[.]221
154.82.81[.]192
139.180.128[.]251
192.229.115[.]229
207.56.119[.]216
192.163.167[.]14
45.192.219[.]60
192.238.205[.]47
45.32.108[.]178
57.133.212[.]106
154.82.81[.]205

Accion recomendada: Bloquear todos estos dominios e IPs en el firewall perimetral, el proxy y el DNS. Anadir a la lista de bloqueo del SIEM para alertas retroactivas.

4.4 Procesos

4.4.1 Proceso principal de ABCDoor

Artefacto: pythonw.exe -m appclient

Donde se ve: Administrador de Tareas, tasklist, EDR, SIEM.

Como buscar:

# Buscar procesos pythonw.exe
Get-Process -Name "pythonw" -ErrorAction SilentlyContinue |
    Select-Object Id, ProcessName, Path, StartTime
 
# Buscar la linea de comandos completa (requiere admin)
Get-CimInstance Win32_Process -Filter "Name='pythonw.exe'" |
    Select-Object ProcessId, CommandLine, CreationDate
 
# Buscar objetos nombrados del malware (muy especifico)
# ABCDoor crea un named object: "python(<pid>): AppClientABC"
# Esto es detectable via herramientas de analisis de objetos del kernel
 
# CMD
tasklist /v /fi "imagename eq pythonw.exe"
wmic process where "name='pythonw.exe'" get ProcessId,CommandLine

Que significaria encontrarlo: Infeccion activa. pythonw.exe es la version de Python sin ventana. Si se ejecuta con -m appclient y no pertenece a ninguna aplicacion legítima conocida, es el backdoor operativo.

Regla EDR sugerida:

ALERT WHEN process(
    name == "pythonw.exe",
    command_line CONTAINS "-m appclient",
    parent_process NOT IN ["explorer.exe","cmd.exe","powershell.exe"]
) -> SEVERITY: CRITICAL

4.4.2 Instalacion silenciosa de Node.js

Artefacto: cmd.exe ejecutando la descarga e instalacion silenciosa de NodeJS 22.19.0

Por que es relevante: La nota indica que en las variantes mas recientes (noviembre 2025+), el vector de entrega usa un archivo SFX (auto-extraible) que instala Node.js si no esta presente, y luego ejecuta un script JavaScript ofuscado.

Como buscar:

# Buscar instalaciones recientes de Node.js via WMI
Get-CimInstance Win32_Product | Where-Object { $_.Name -like "*Node*" }
 
# Buscar el proceso node.exe con un script sospechoso
Get-CimInstance Win32_Process -Filter "Name='node.exe'" |
    Select-Object ProcessId, CommandLine, CreationDate
 
# Buscar evidencia de instalacion silenciosa en logs de aplicacion
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='MsiInstaller'} |
    Where-Object { $_.Message -like "*Node*" }

Que significaria encontrarlo: Si Node.js se instala en un servidor o estacion de trabajo donde normalmente no se usa, y ademas se instalo via linea de comandos de forma silenciosa, es un indicador fuerte de compromiso.

4.5 Resumen rapido de busqueda

Que buscar	Donde	Comando clave	Gravedad si se encuentra
`HKCU\...\Run\AppClient`	Registro	`reg query HKCU\...\Run`	CRITICA
`HKCU\Software\CarEmu`	Registro	`reg query "HKCU\Software\CarEmu"`	CRITICA
`C:\ProgramData\Tailscale\` (con Python)	Filesystem	`dir /s C:\ProgramData\Tailscale`	ALTA
`%LOCALAPPDATA%\applogs\device.log`	Filesystem	`dir C:\Users\*\AppData\Local\applogs`	CRITICA
Tarea “AppClient” cada minuto	Tareas programadas	`schtasks /query /tn AppClient`	CRITICA
`pythonw.exe -m appclient`	Procesos	`wmic process where name=pythonw.exe`	CRITICA
Conexiones a puerto 5000 (subdominio abc.)	Red	`netstat -anob findstr :5000`	ALTA
Conexiones a puerto 6666	Red	`netstat -anob findstr :6666`	ALTA
Consultas DNS a `.abc.`	Logs DNS	Busqueda en SIEM	MEDIA-ALTA
`pythonw.exe` accediendo a `ip-api.com`	Proxy/EDR	Busqueda en proxy logs	MEDIA

5. PROFUNDIZACION: Areas de estudio recomendadas

5.1 Tecnicas de ejecucion fileless y living-off-the-land (LOTL)

Por que este caso lo requiere: RustSL ejecuta el shellcode en memoria sin escribir en disco. ABCDoor usa pythonw.exe, ffmpeg.exe, schtasks y reg add (todas herramientas legítimas del sistema) para realizar sus operaciones. Esto se conoce como “Living off the Land” y es extremadamente dificil de detectar con antivirus tradicionales.

Temas concretos:

LOLBins (Living Off the Land Binaries): lista completa de LOLBins de Microsoft que el malware puede abusar (PowerShell, MSBuild, certutil, regsvr32, etc.)
Fileless malware: como funciona la inyeccion de procesos, reflective DLL injection y ejecucion en memoria
AMSI (Antimalware Scan Interface): como Windows intenta interceptar scripts maliciosos en memoria

Recurso: Proyecto LOLBAS (https://lolbas-project.github.io/) - Base de datos de binarios legítimos que pueden ser abusados.

5.2 Steganografia y ofuscacion de payloads

Por que este caso lo requiere: El payload de RustSL esta oculto usando multiples capas de cifrado (XOR con clave fija RSL_STEG_2025_KEY), codificaciones (Base64, Base32, Hex) y marcadores custom (<RSL_START>, <RSL_END>). Entender estos metodos es clave para el analisis de malware y para escribir reglas de deteccion.

Temas concretos:

Steganografia digital: como se oculta informacion dentro de imagenes, archivos de audio, o en este caso, dentro del propio ejecutable
Tecnicas de ofuscacion: XOR, Base64, encoding en cadenas, packers y crypters
Analisis estatico vs dinamico: cuando cada tecnica es necesaria

Recurso: “Practical Malware Analysis” de Michael Sikorski y Andrew Honig - Capitulos sobre ofuscacion y empaquetado. Tambien el curso gratuito de ANY.RUN sobre analisis de malware.

5.3 Respuesta a incidentes para amenazas APT (persistencia avanzada)

Por que este caso lo requiere: ABCDoor usa persistencia redundante (registro + tarea programada cada minuto), se reinstala automaticamente, y el operador puede actualizar el backdoor a distancia. Una erradicacion incompleta (como eliminar solo la clave de registro) resulta en reinfeccion inmediata.

Temas concretos:

Ciclo completo de respuesta a incidentes (NIST SP 800-61): preparacion, deteccion, contencion, erradicacion, recuperacion, lecciones aprendidas
Caza de amenazas (Threat Hunting): como buscar persistencia anomala proactivamente antes de que se active una alerta
Cadenas de persistencia de Windows: todas las vias donde un atacante puede establecer auto-ejecucion (Run keys, tareas programadas, servicios, WMI, COM hijacking, etc.)

Recurso: NIST SP 800-61r2 (Computer Security Incident Handling Guide). Tambien “The Art of Memory Forensics” para analisis forense avanzado de malware en memoria.

5.4 Analisis de trafico C2 y patron de comunicacion

Por que este caso lo requiere: ABCDoor usa Socket.IO sobre HTTPS, lo que significa que el trafico esta cifrado. Sin embargo, hay patrones detectables: el subdominio abc. consistente, el uso de un puerto no estandar (5000), y el patron de comunicacion bidireccional.

Temas concretos:

Deteccion de C2 basada en trafico: JA3/JA3S fingerprints, beaconing analysis (comunicaciones periodicas), dominios generados algoritmicamente (DGA)
Analisis de trafico cifrado sin descifrar: metadatos como volumen, timing, SNI (Server Name Indication), y certificados TLS
Herramientas: Zeek (antes Bro), Suricata, RITA (Real Intelligence Threat Analytics), NetworkMiner

Recurso: Curso de Security Onion como plataforma gratuita de analisis de red. Blog de Active Countermeasures sobre hunting de C2 con trafico cifrado.

5.5 (Bonus) Geolocalizacion y evasion de analisis

Por que este caso lo requiere: RustSL consulta 5 servicios de geolocalizacion IP y tiene 12 metodos de deteccion de sandbox/VM. Entender estas tecnicas es fundamental tanto para el analisis ofensivo (simular un entorno de evasion en un lab) como para el defensivo (configurar entornos de analisis que no sean detectados).

Temas concretos:

Anti-sandbox y anti-VM: cuales son los indicadores que el malware busca (MAC addresses de VMware/VirtualBox, artefactos de herramientas de analisis, timings de ejecucion, dispositivos de hardware simulados)
Configuracion de laboratorios de analisis de malware: como hacer que una VM parezca un sistema real (VMware hardening, eliminar artefactos de virtualizacion)

Recurso: Documentacion de REMnux y FLARE-VM como distribuciones especializadas en analisis de malware. Guia de “VMware hardening” de ANY.RUN.

Referencia rapida final: Donde buscar cada artefacto

REGISTRO DE WINDOWS
├── HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AppClient    [CRITICO]
├── HKCU\Software\CarEmu\FirstInstallTime                            [CRITICO]
├── HKCU\Environment\UserInitMprLogonScript                          [CRITICO - persistencia alternativa]
├── HKCU\Console\0  (config ValleyRAT x86)                           [ALTA]
└── HKCU\Console\1  (config ValleyRAT x64)                           [ALTA]

FILESYSTEM
├── C:\ProgramData\Tailscale\          (directorio de instalacion)    [CRITICO]
├── %LOCALAPPDATA%\applogs\device.log  (ID de victima)                [CRITICO]
├── %LOCALAPPDATA%\applogs\exception_logs.zip                        [ALTA]
└── %TEMP%\tmpXXXXXXXX\update.zip      (actualizaciones)             [ALTA]

TAREAS PROGRAMADAS
└── "AppClient" (ejecucion cada 60 segundos)                         [CRITICO]

PROCESOS
├── pythonw.exe -m appclient                                         [CRITICO]
├── node.exe ejecutando JS ofuscado                                  [ALTA]
└── Cualquier proceso desde C:\ProgramData\Tailscale\                [ALTA]

RED
├── Subdominios abc.* (puerto 5000)                                  [ALTA]
├── IPs C2 ValleyRAT (puerto 6666)                                   [ALTA]
├── Conexiones a servicios de geolocalizacion desde no-navegadores   [MEDIA]
└── Dominios de distribucion: haijing88.com, mcagov.cc, roldco.com   [ALTA]

Documento de estudio para preparacion CySA+ basado en el analisis de Kaspersky Securelist sobre Silver Fox / ABCDoor (abril 2026). Los IOCs y TTPs aqui descritos son para propositos educativos y de defensa.

Sammi De Blas | Knowledge Base

Explorador

Silver Fox - ABCDoor Backdoor (MIMO V2.5 Pro)

Silver Fox - ABCDoor Backdoor (Kaspersky Securelist)

Resumen Ejecutivo

Campana de Phishing

Cadena de Ataque

Silver Fox RustSL Loader

ValleyRAT (Winos 4.0)

ABCDoor Backdoor (Nuevo)

Evolucion de Distribucion

Victims

Indicadores de Compromiso (IOCs)

Deteccion Blue Team

Analisis Forense - Puntos Clave

Guia de Estudio: Silver Fox - ABCDoor Backdoor

Nota previa

1. CONCEPTO BASE: Los componentes explicados sin jerga

RustSL Loader

ValleyRAT (Winos 4.0)

ABCDoor Backdoor

Relacion entre los tres

2. CADENA DE ATAQUE PASO A PASO

Paso 1: El correo de phishing

Paso 2: El PDF con enlace

Paso 3: RustSL Loader ejecuta el shellcode

Paso 4: ValleyRAT se instala

Paso 5: ABCDoor se despliega

Paso 6: Comunicacion C2 y operacion

Paso 7: Persistencia a largo plazo y actualizaciones

Resumen visual de la cadena

3. MAPEADO A OBJETIVOS CySA+ (CS0-003)

Dominios del examen cubiertos

Mapping a MITRE ATT&CK (complementario al CySA+)

Preguntas tipo examen

4. DETECCION PRACTICA: Artefactos e IOCs

4.1 Registro de Windows

4.1.1 Persistencia principal de ABCDoor

4.1.2 Configuracion de ValleyRAT

4.1.3 Marca de instalacion de ABCDoor

4.2 Filesystem

4.2.1 Directorio de instalacion de ABCDoor

4.2.2 Logs del dispositivo

4.2.3 Logs de excepciones

4.2.4 Archivos de actualizacion

4.3 Red

4.3.1 Conexiones C2 de ABCDoor

4.3.2 Conexiones C2 de ValleyRAT

4.3.3 Servicios de geolocalizacion

4.3.4 Servidor de distribucion y otros

4.4 Procesos

4.4.1 Proceso principal de ABCDoor

4.4.2 Instalacion silenciosa de Node.js

4.5 Resumen rapido de busqueda

5. PROFUNDIZACION: Areas de estudio recomendadas

5.1 Tecnicas de ejecucion fileless y living-off-the-land (LOTL)

5.2 Steganografia y ofuscacion de payloads

5.3 Respuesta a incidentes para amenazas APT (persistencia avanzada)

5.4 Analisis de trafico C2 y patron de comunicacion

5.5 (Bonus) Geolocalizacion y evasion de analisis

Referencia rapida final: Donde buscar cada artefacto

Vista Gráfica

Tabla de Contenidos