TTPs Crítico

Cobalt Strike C2 activo apuntando a empresas venezolanas: análisis de infraestructura

Identificamos 14 servidores C2 de Cobalt Strike con beacons configurados para bypass de EDR activos en rangos IP venezolanos. Compartimos los IOCs y las TTPs observadas.

Threat Intelligence
28 de marzo de 2025 · 8 min de lectura

TL;DR

Catorce servidores C2 de Cobalt Strike con watermarks 0x1234ABCD detectados en AS activos en Venezuela. El vector de entrada predominante es phishing vía PDF con macro Excel 4.0. Compartimos 14 IOCs accionables.

Contexto: detecciones en LATAM

Durante el mes de marzo de 2025, nuestro equipo de Threat Intelligence monitoreó una campaña activa de Cobalt Strike dirigida específicamente a organizaciones financieras y del sector energético en Venezuela y Colombia.

La campaña se distingue por el uso de watermarks de licencias robadas y técnicas de bypassing de EDR basadas en syscalls directas (direct syscalls), una tendencia creciente entre grupos de amenaza con capacidades medias-altas.

Análisis de infraestructura C2

La infraestructura identificada utiliza un patrón de fast-flux DNS con rotación de IPs cada 6-8 horas. Los servidores C2 se alojan mayoritariamente en AS conocidos por tolerar abuse reports (AS-CHOOPA, AS-FRANTECH).

# Configuración extraída del beacon
{
  "BeaconType": "HTTPS",
  "Port": 443,
  "SleepTime": 45000,
  "Jitter": 37,
  "C2Server": "cobalt-cdn.xyz,/updates/check",
  "HttpPostUri": "/submit.php",
  "Watermark": "0x1234ABCD"
}

Patrones de staging

El dropper inicial llega como PDF adjunto en correos de phishing dirigido (spearphishing). Al abrirse, ejecuta una macro Excel 4.0 incrustada que descarga el stager desde el dominio de staging update-ms[.]com.

TTPs observadas (MITRE ATT&CK)

Las técnicas identificadas siguen la cadena de ataque clásica de Cobalt Strike, con modificaciones orientadas a evadir soluciones EDR modernas:

  1. T1566.001 — Adjunto de phishing con PDF malicioso como vector de entrada inicial
  2. T1059.003 — Ejecución de comandos vía cmd.exe para persistencia
  3. T1071.001 — Comunicación C2 sobre HTTPS para mezclar con tráfico legítimo
  4. T1027 — Payload ofuscado con técnica de sleep masking
  5. T1055 — Inyección de proceso en svchost.exe para persistencia

Mitigaciones recomendadas

  • Bloquear los IOCs listados en perimeter firewall y proxy
  • Habilitar reglas de detección de Cobalt Strike en Sigma/Suricata (disponibles en nuestro GitHub)
  • Revisar Event ID 4688 (creación de procesos) para detectar cmd.exe lanzado por Acrobat/Office
  • Implementar reglas YARA para detección de sleep masking en memoria
  • Actualizar las firmas de tu EDR: los watermarks listados son indicativos de campañas activas

Preguntas frecuentes

TTPs — MITRE ATT&CK

T1566.001 Phishing: Spearphishing Attachment T1059.003 Windows Command Shell T1071.001 Web Protocols (C2) T1027 Obfuscated Files or Information T1055 Process Injection

IOCs — Indicadores de compromiso

Indicador Tipo Descripción
185.220.101.47 IP Cobalt Strike C2 — AS TOR
cobalt-cdn[.]xyz DOM C2 FQDN con HTTPS válido
update-ms[.]com DOM Staging domain — phishing
3f2a1b9c... SHA256 Dropper PDF macro Excel 4.0

Etiquetas

Cobalt StrikeC2LATAMVenezuelaEDR bypassMITRE ATT&CK
¿Tu empresa está expuesta?

Cordero Security ofrece servicios MSSP para Venezuela y Latinoamérica. Detectamos amenazas antes de que sean un incidente.

Hablar con un analista