El centro de coordinación CERT de Japón (JPCERT/CC) reveló el jueves que observó incidentes que involucraron el uso de un marco de comando y control (C2) llamado CruzC2, que está diseñado para extender la funcionalidad de Cobalt Strike a otras plataformas como Linux y Apple macOS para el control de sistemas multiplataforma.
La agencia dijo que la actividad se detectó entre septiembre y diciembre de 2024, dirigida a varios países, incluido Japón, según un análisis de los artefactos de VirusTotal.
El atacante empleó CrossC2, así como otras herramientas como PsExec, Plink y Cobalt Strike, para intentar penetrar en AD. Investigaciones posteriores revelaron que el atacante utilizó malware personalizado como cargador para Cobalt Strike. Yuma Masubuchi, investigador de JPCERT/CC dijo en un informe publicado hoy.
El cargador de baliza Cobalt Strike a medida tiene el nombre en código ReadNimeLoader. CrossC2, un generador y beacon no oficial, es capaz de ejecutar varios comandos Cobalt Strike después de establecer comunicación con un servidor remoto especificado en la configuración.
En los ataques documentados por JPCERT/CC, se utiliza una tarea programada configurada por el actor de la amenaza en la máquina comprometida para iniciar el binario java.exe legítimo, que luego se utiliza de forma abusiva para cargar lateralmente ReadNimeLoader (“jli.dll”).
Escrito en el lenguaje de programación Nim, el cargador extrae el contenido de un archivo de texto y lo ejecuta directamente en la memoria para evitar dejar rastros en el disco. Este contenido cargado es un cargador de shellcode de código abierto denominado OdinLdr, que finalmente decodifica la baliza Cobalt Strike integrada y la ejecuta, también en la memoria.
ReadNimeLoader también incorpora varias técnicas antidepuración y antianálisis diseñadas para evitar que OdinLdr se decodifique a menos que la ruta esté clara.
JPCERT/CC dijo que la campaña de ataque comparte cierto nivel de superposición con la actividad del ransomware BlackSuit/Black Basta reportado por Rapid7 en junio de 2025, citando superposiciones en el dominio de comando y control (C2) utilizado y archivos con nombres similares.
Otro aspecto destacable es la presencia de varios Versiones ELF de Sistema BC, una puerta trasera que a menudo actúa como precursora de la implementación de Cobalt Strike y ransomware.
“Si bien existen numerosos incidentes relacionados con Cobalt Strike, este artículo se centró en el caso particular en el que CrossC2, una herramienta que extiende la funcionalidad de Cobalt Strike Beacon a múltiples plataformas, se utilizó en ataques, comprometiendo servidores Linux dentro de una red interna”, dijo Masubuchi.
Muchos servidores Linux no cuentan con EDR ni sistemas similares instalados, lo que los convierte en posibles puntos de entrada para mayores vulneraciones y, por lo tanto, se requiere más atención
Fuente: thehackernews.com