Revisando WARMCOOKIE
Elastic Security Labs continúa rastreando los desarrollos en la base de código de WARMCOOKIE, descubriendo una nueva infraestructura vinculada a la puerta trasera. Desde nuestra publicación original, estuvimos observando actualizaciones continuas de la familia de códigos y actividad continua en torno a la puerta trasera, incluidas nuevas infecciones y su uso con cargadores emergentes. Un hallazgo reciente del equipo de IBM X-Force destacó un nuevo cargador de malware como servicio (MaaS), denominado CASTLEBOT, que distribuye WARMCOOKIE.
En este artículo, revisaremos las nuevas funciones agregadas a WARMCOOKIE desde su publicación inicial. A continuación, presentaremos la información de configuración extraída de varios ejemplos.
Conclusiones clave
- La puerta trasera WARMCOOKIE se desarrolla y distribuye activamente
- El ID de campaña, un marcador agregado recientemente, arroja luz sobre la orientación a servicios y plataformas específicos
- Los operadores WARMCOOKIE parecen recibir compilaciones variantes que se distinguen por sus controladores de comandos y funcionalidad
- Elastic Security Labs identificó un certificado predeterminado que se puede usar para rastrear nuevos servidores WARMCOOKIE C2
Resumen de WARMCOOKIE
Publicamos por primera vez una investigación sobre WARMCOOKIE en el verano de 2024, detallando su funcionalidad y cómo se implementó a través de campañas de phishing con temas de reclutamiento. Desde entonces, observamos varios cambios de desarrollo en el malware, incluida la adición de nuevos controladores, un nuevo campo de identificación de campaña, optimización de código y ajustes de evasión.
La importancia de WARMCOOKIE se destacó en mayo de 2025, durante la Operación Endgame de Europol, en la que se interrumpieron varias familias de malware de alto perfil, incluida WARMCOOKIE. A pesar de esto, todavía estamos viendo que la puerta trasera se emplea activamente en varias campañas de publicidad maliciosa y spam.
Actualizaciones de WARMCOOKIE
Controladores
Durante nuestro análisis de la nueva variante de WARMCOOKIE, identificamos cuatro nuevos controladores introducidos en el verano de 2024, que proporcionan capacidades rápidas para iniciar ejecutables, archivos DLL y scripts:
- Ejecución de archivos PE
- Ejecución de DLL
- Ejecución de scripts de PowerShell
- Ejecución de DLL con exportación
Start
Las compilaciones WARMCOOKIE más recientes que recopilamos contienen la funcionalidad de ejecución DLL/EXE, siendo la funcionalidad de script de PowerShell mucho menos frecuente. Estas capacidades aprovechan la misma función pasando diferentes argumentos para cada tipo de archivo. El controlador crea una carpeta en un directorio temporal, escribiendo el contenido del archivo (EXE / DLL / PS1) en un archivo temporal en la carpeta recién creada. A continuación, ejecuta el archivo temporal directamente o emplea rundll32.exe o PowerShell.exe. A continuación se muestra un ejemplo de ejecución de PE de procmon.
Banco de cuerdas
Otro cambio observado fue la adopción del uso de una lista de empresas legítimas para las rutas de carpetas y los nombres de tareas programadas para WARMCOOKIE (denominado "banco de cadenas"). Esto se hace con fines de evasión de defensa, lo que permite que el malware se reubique en directorios de aspecto más legítimo. Este enfoque emplea un método más dinámico (una lista de empresas para usar como rutas de carpeta, asignadas en tiempo de ejecución de malware) en lugar de codificar la ruta en una ubicación estática, como observamos con variantes anteriores (C:\ProgramData\RtlUpd\RtlUpd.dll).
El malware emplea GetTickCount como semilla para que la función srand seleccione aleatoriamente una cadena del banco de cadenas.
A continuación se muestra un ejemplo de una tarea programada que muestra el nombre de la tarea y la ubicación de la carpeta:
Al buscar algunos de estos nombres y descripciones, nuestro equipo descubrió que este banco de cadenas proviene de un sitio web empleado para calificar y encontrar compañías de TI / software de buena reputación.
Cambios más pequeños
En nuestro último artículo, WARMCOOKIE pasó un parámetro de línea de comandos usando /p para determinar si es necesario crear una tarea programada; Este parámetro se cambió a /u. Este parece ser un cambio pequeño, pero adicional, para romper con los reportes anteriores.
En esta nueva variante, WARMCOOKIE ahora se incrusta 2 exclusiones mutuas similares a GUID independientes; Estos se usan en combinación para controlar mejor la inicialización y la sincronización. Las versiones anteriores solo usaban un mutex.
Otra mejora notable en las versiones más recientes de WARMCOOKE es la optimización del código. La implementación que se ve a continuación ahora es más limpia con menos lógica en línea, lo que hace que el programa esté optimizado para la legibilidad, el rendimiento y la capacidad de mantenimiento.
Configuraciones de agrupación en clústeres
Desde nuestra publicación inicial en julio de 2024, las muestras de WARMCOOKIE incluyeron un campo de ID de campaña. Los operadores emplean este campo como una etiqueta o marcador que proporciona contexto a los operadores en torno a la infección, como el método de distribución. A continuación se muestra un ejemplo de una muestra con un ID de campaña de traffic2.
Basándonos en las configuraciones extraídas de muestras en el último año, planteamos la hipótesis de que la clave RC4 incrustada se puede usar para distinguir entre operadores que usan WARMCOOKIE. Si bien no está probado, observamos a partir de varias muestras que algunos patrones comenzaron a surgir basados en la agrupación de la clave RC4.
Al usar la clave RC4, podemos ver la superposición en los temas de la campaña a lo largo del tiempo, como la compilación con la clave RC4 83ddc084e21a244c, que aprovecha palabras clave como bing, bing2, bing3,y aws para el mapeo de campañas. Una nota interesante, en lo que se refiere a estos artefactos de compilación, es que algunas compilaciones contienen diferentes controladores de comandos/funcionalidad. Por ejemplo, la compilación que usa la clave RC4 83ddc084e21a244c es la única variante que observamos que tiene funcionalidades de ejecución de scripts de PowerShell, mientras que las compilaciones más recientes contienen los controladores DLL/EXE.
Otros ID de campaña parecen usar términos como lod2lod, capo, o PrivateDLL. Por primera vez, vimos el uso de dominios incrustados frente a direcciones IP numéricas en WARMCOOKIE de una muestra en julio de 2025.
Descripción general de la infraestructura de WARMCOOKIE
Luego de extraer la infraestructura de estas configuraciones, se destaca un certificado SSL. Nuestra hipótesis es que el certificado a continuación es posiblemente un certificado predeterminado empleado para el back-end WARMCOOKIE.
Issuer
C=AU, ST=Some-State, O=Internet Widgits Pty Ltd
Not Before
2023-11-25T02:46:19Z
Not After
2024-11-24T02:46:19Z
Fingerprint (SHA1)
e88727d4f95f0a366c2b3b4a742950a14eff04a4
Fingerprint (SHA256)
8c5522c6f2ca22af8db14d404dbf5647a1eba13f2b0f73b0a06d8e304bd89cc0Detalles del certificado
Tenga en cuenta que la fecha "No después" anterior muestra que este certificado caducó. Sin embargo, la infraestructura nueva (y reutilizada) se sigue inicializando con este certificado caducado. Esta no es una infraestructura completamente nueva, sino más bien una reconfiguración de los redirectores para dar nueva vida a la infraestructura existente. Esto podría indicar que a los propietarios de la campaña no les preocupa que se descubra el C2.
Conclusión
Elastic Security Labs continúa observando infecciones de WARMCOOKIE y el despliegue de nueva infraestructura para esta familia. Durante el último año, el desarrollador siguió haciendo actualizaciones y cambios, lo que sugiere que estará disponible durante algún tiempo. Basado en su uso selectivo, continúa permaneciendo bajo el radar. Esperamos que al compartir esta información, las organizaciones estén mejor equipadas para proteger de esta amenaza.
Malware y MITRE ATT&CK
Elastic usa el framework MITRE ATT&CK para documentar tácticas, técnicas y procedimientos comunes que las amenazas persistentes avanzadas emplean contra las redes empresariales.
Táctica
La táctica representa el porqué de una técnica o subtécnica. Es el objetivo táctico del adversario: la razón para realizar una acción.
Técnicas
Las técnicas representan cómo un adversario logra un objetivo táctico mediante la realización de una acción.
- Phishing
- Ejecución de usuario: enlace malicioso
- Intérprete de comandos y scripting: PowerShell
- Detección de información del sistema
- Tarea/trabajo programado
- Captura de pantalla
- Intérprete de comandos y scripting: Shell de comandos de Windows
- Eliminación de indicadores: reubicar malware
Detección de malware
Prevención
- Descargas sospechosas de PowerShell
- Scheduled Task Creation by an Unusual Process
- Suspicious PowerShell Execution via Windows Scripts (Ejecución sospechosa de PowerShell a través de scripts de Windows)
- RunDLL32 with Unusual Arguments (RunDLL32 con argumentos inusuales)
- Windows.Trojan.WarmCookie
YARA
Elastic Security creó las siguientes reglas de YARA para identificar esta actividad.
Observaciones
En esta investigación se discutieron los siguientes observables.
| Observable | Tipo | Nombre | Referencia |
|---|---|---|---|
| 87.120.126.32 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| storsvc-win[.]COM | dominio | Servidor WARMCOOKIE C2 | |
| 85.208.84.220 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 109.120.137.42 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 195.82.147.3 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 93.152.230.29 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 155.94.155.155 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 87.120.93.151 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 170.130.165.112 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 192.36.57.164 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 83.172.136.121 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 45.153.126.129 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 170.130.55.107 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 89.46.232.247 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 89.46.232.52 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 185.195.64.68 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 107.189.18.183 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 192.36.57.50 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 62.60.238.115 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 178.209.52.166 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 185.49.69.102 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 185.49.68.139 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 149.248.7.220 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 194.71.107.41 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 149.248.58.85 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 91.222.173.219 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 151.236.26.198 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 91.222.173.91 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 185.161.251.26 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 194.87.45.138 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| 38.180.91.117 | IPv4-ADDR | Servidor WARMCOOKIE C2 | |
| c7bb97341d2f0b2a8cd327e688acb65eaefc1e01c61faaeba2bc1e4e5f0e6f6e | SHA-256 | WARMCOOKIE | |
| 9d143e0be6e08534bb84f6c478b95be26867bef2985b1fe55f45a378fc3ccf2b | SHA-256 | WARMCOOKIE | |
| f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659 | SHA-256 | WARMCOOKIE | |
| 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4 | SHA-256 | WARMCOOKIE | |
| b7aec5f73d2a6bbd8cd920edb4760e2edadc98c3a45bf4fa994d47ca9cbd02f6 | SHA-256 | WARMCOOKIE | |
| e0de5a2549749aca818b94472e827e697dac5796f45edd85bc0ff6ef298c5555 | SHA-256 | WARMCOOKIE | |
| 169c30e06f12e33c12dc92b909b7b69ce77bcbfc2aca91c5c096dc0f1938fe76 | SHA-256 | WARMCOOKIE |
Referencias
A lo largo de la investigación anterior se hizo referencia a lo siguiente: