Un actor de amenaza nombrado Desvío ha sido expulsado como campañas que distribuyen un robador de información conocido como Strela Stealer.
Eso es de acuerdo con los hallazgos de Informlox, que encontró al actor de amenaza para mantener el control de dominios que albergan la primera etapa del robador, una puerta trasera llamada estrella de mar.
La firma de inteligencia de amenazas del DNS dijo que ha estado rastreando Detour Dog desde agosto de 2023, cuando Sucuri, propiedad de Godaddy revelado Detalles de ataques dirigidos a sitios de WordPress para incrustar JavaScript malicioso que usó Registros de DNS TXT Como canal de comunicación para un sistema de distribución de tráfico (TDS), redirige a los visitantes del sitio a sitios incompletos y malware. Las huellas del actor de amenaza se remontan a febrero de 2020.
«Si bien tradicionalmente estos redireccionamientos condujeron a estafas, el malware ha evolucionado recientemente para ejecutar contenido remoto a través del sistema de comando y control (C2) basado en DNS,» InfoBlox dicho. «Estamos rastreando al actor de amenaza que controla este malware como Detour Dog».
La infraestructura propiedad de perros de desvío, según la compañía, se ha utilizado para albergar a Starfish, una caparazón inversa simple que sirve como conducto para Strela Stealer. En un informe publicado en julio de 2025, IBM X-Force dijo que la puerta trasera se entrega mediante archivos SVG maliciosos con el objetivo de permitir el acceso persistente a las máquinas infectadas.
Hive0145el actor de amenaza exclusivamente detrás Las campañas de Strela Stealer desde al menos 2022, se evalúa que tiene motivación financiera y probablemente opere como un corredor de acceso inicial (IAB), adquiriendo y vendiendo acceso a sistemas comprometidos con fines de lucro.
El análisis de Informlox ha revelado que al menos el 69% de los anfitriones de estadificación de estrellas de mar confirmadas estaban bajo el control de Detour Dog, y que una botnet de Mikrotik anunciada como REM proxy, que, a su vez, funciona con SystemBC, como descubierto Por los laboratorios de Lumen de Lumen el mes pasado, también fue parte de la cadena de ataque.
Específicamente, ha salido a la luz que los mensajes de correo electrónico de correo no deseado que distribuyeron Strela Stealer se originaron en REM Proxy y otra botnet denominada TofSee, este último de los cuales se ha propagado a través de un cargador basado en C ++ llamado Privateloader en el pasado. En ambos casos, Detour Dog Infraestructura organizó la primera etapa del ataque.
«Los botnets fueron contratados para entregar los mensajes de spam, y Detour Dog fue contratado para entregar el malware», dijo el Dr. Renée Burton, vicepresidente de inteligencia de amenazas de Inflox, a The Hacker News.
Además, se ha descubierto que Detour Dog facilita la distribución del robador a través de registros de DNS TXT, con los servidores de nombres DNS controlados por el actor amenazado modificados para analizar las consultas DNS especialmente formateadas de los sitios comprometidos y responder a ellos con comandos de ejecución de código remoto.
Modus operandi de Detour Dog cuando se trata de adquirir una nueva infraestructura es por explotación Sitios vulnerables de WordPress Para realizar inyecciones de código malicioso, aunque la compañía dijo que los métodos han seguido evolucionando.
Un aspecto notable del ataque es que el sitio web comprometido funciona normalmente el 90% del tiempo, lo que no aumenta las banderas rojas y permite que el malware persista durante períodos prolongados de tiempo. En instancias seleccionadas (aproximadamente 9%), sin embargo, un visitante del sitio se redirige a una estafa a través de Ayuda TDS o Monetizer TDS; En un escenario mucho más raro (1%), el sitio recibe un comando de ejecución de archivos remoto. Se cree que las redirecciones son limitadas en un intento por evitar la detección.
El desarrollo marca la primera vez que Detour Dog ha sido visto distribuyendo malware, un cambio de actuar como una entidad responsable de reenviar exclusivamente el tráfico a Los Poltos, una compañía de tecnología publicitaria maliciosa que opera bajo el Vextrio Viper paraguas.
«Sospechamos que evolucionaron de estafas para incluir la distribución de malware por razones financieras», dijo Burton. «Ha habido un gran enfoque en la industria de la seguridad en los últimos 12-18 meses para detener el tipo de estafas que Detour Dog ha apoyado en el pasado. Creemos que estaban ganando menos dinero, aunque no podemos verificar eso».
Complementar estos cambios está el hecho de que el malware del sitio web utilizado por Detour Dog ha sido testigo de una evolución propia, ganando la capacidad de ordenar sitios web infectados para ejecutar código desde servidores remotos.
A partir de junio de 2025, las respuestas han dirigido al sitio infectado a recuperar la salida de los scripts PHP de los servidores Strela STELER C2 verificados para distribuir el malware, lo que sugiere el uso dual de DNS como un canal de comunicación y un mecanismo de entrega.
«Las respuestas a las consultas de registros de TXT están codificadas en Base64 e incluyen explícitamente la palabra 'Down' para desencadenar esta nueva acción», señaló la compañía. «Creemos que esto ha creado un nuevo modelo de distribución de malware en red utilizando DNS en el que las diferentes etapas se obtienen de diferentes hosts bajo el control del actor de amenaza y se transmiten cuando el usuario interactúa con el señuelo de la campaña, por ejemplo, el archivo adjunto del correo electrónico.
«Una configuración novedosa como esta permitiría a un atacante ocultar su identidad detrás de los sitios web comprometidos, haciendo que sus operaciones sean más resistentes, mientras sirvieron para engañar a los cazadores de amenazas porque el malware no es realmente donde los archivos adjuntos analizados indican que la etapa está alojada».
Toda la secuencia de acciones se desarrolla de la siguiente manera –
- La víctima abre un documento malicioso, lanzando un archivo SVG que se acerca a un dominio infectado
- El sitio comprometido envía una solicitud de registro TXT al servidor Detour Dog C2 a través de DNS
- El servidor de nombres responde con un registro txt que contiene una URL Strela C2, prefijada con «Down»
- El sitio comprometido elimina el prefijo hacia abajo y utiliza curl para obtener el descargador de estrellas de mar de la URL
- El sitio comprometido actúa como un relé para enviar el descargador al cliente (es decir, la víctima)
- El descargador inicia una llamada a otro dominio comprometido
- El segundo dominio comprometido envía una consulta de TXT DNS similar al servidor Detour Dog C2
- El servidor de nombre de Detour Dog responde con una nueva URL Strela C2, nuevamente prefijada con «Down»
- El segundo dominio comprometido tira del prefijo y envía una solicitud de curlón al servidor Strela C2 para obtener estrellas de mar
- El segundo dominio comprometido actúa como un relé para enviar el malware al cliente (es decir, la víctima)
Informlox dijo que funcionó con la Fundación Shadowserver para sumergirse dos de los dominios C2 de Detour Dog (WebDmonitor[.]io y aeroarro[.]io) el 30 de julio y el 6 de agosto de 2025.
La compañía también señaló que el actor de amenaza probablemente funciona como una distribución como servicio (Daas) proveedor, agregando que encontró evidencia de un «archivo aparentemente no relacionado» propagado a través de su infraestructura. Sin embargo, señaló que «no podía validar lo que se entregó».
Fuente