Threat Hunting Malware Analysis OSINT Ingeniería Inversa Actualizado: Mayo 2026 ~50 min de lectura

Threat Hunter Recollection: Forjando un Perfil de Caza en el Laboratorio

Un Threat Hunter no se titula: se construye. Esta crónica recorre cinco investigaciones reales —del OSINT aplicado a una red de estafa piramidal al reversing de un RAT— para demostrar, con evidencias y comparativas con la industria, cómo se adquieren las habilidades que definen a un cazador de amenazas.

/índice_de_investigaciones +
  1. Esto No es un Informe: Es Mi Ruta de Aprendizaje
  2. Mapeando una Red de Estafa Piramidal Global (OSINT)
  3. Campaña Multi-Vector de Fraude Financiero (BEC + Lumma)
  4. Diseccionando Nexilo-CC-Checker (Ingeniería Inversa)
  5. Automatizando el Triage con Herramientas Propias
  6. Deconstruyendo NetSupport RAT (Kill Chain Completa)
  7. El Hilo que lo Conecta Todo

00. Esto No es un Informe: Es Mi Ruta de Aprendizaje

La memoria del cazador es frágil. Cada investigación genera un volumen de inteligencia que, si no se documenta, se evapora. Pero más allá de los IoCs y las TTPs, cada caso deja una skill grabada en el instinto. Esta recollection no es solo un compendio de hallazgos: es el mapa de cómo se construye un Threat Hunter desde el laboratorio.

A lo largo de cinco investigaciones independientes —publicadas originalmente en LinkedIn y X como La Red de Estafadores que Mapeé con VirusTotal, Exponiendo una Campaña Multi-Vector de Fraude Financiero, Análisis de Nexilo-CC-Checker, Detrás de Cámaras: Mi Triage y Deconstruyendo NetSupport RAT— fui adquiriendo las capacidades que hoy definen mi perfil: OSINT, ingeniería inversa, análisis de malware, automatización de triage, y threat intelligence aplicada. Cada sección de este artículo detalla no solo el caso, sino la skill que me dejó y cómo se compara con investigaciones de terceros que validan y amplifican el impacto.

01. Mapeando una Red de Estafa Piramidal Global

Esta fue la investigación que lo empezó todo. Mi primera gran lección en OSINT aplicado a threat hunting llegó con un mensaje sospechoso de un número sudafricano ofreciendo "clasificar hoteles en Google Maps" por una paga. Lo que comenzó como una curiosidad —y un hilo de X donde fui narrando el hallazgo en tiempo real— terminó revelando una red de estafa piramidal interconectada globalmente con ramificaciones en apuestas fraudulentas, exchanges falsos y robo de identidad corporativa.

Skill Adquirida: OSINT & Infrastructure Mapping Pivoting sobre IoCs Correlación de infraestructura Blockchain Forensics

Task Scams: El Contexto Global

Las estafas de tareas —task scams— son una epidemia documentada. La FTC reportó pérdidas de aproximadamente 220 millones de dólares en EE.UU. solo en el primer semestre de 2024 por esta modalidad. El patrón es siempre el mismo: pequeños pagos iniciales para ganar confianza, seguidos de una exigencia de "inversión" que nunca se recupera. Lo que hace única a esta variante es su capacidad para mimetizarse con oportunidades legítimas de trabajo remoto.

El Vector de Ingeniería Social: WhatsApp, Telegram y un Falso CEO

El primer contacto llegó desde el número +27610596209 de Sudáfrica, un país con un mercado de SIM swapping documentado como problemático por medios como MyBroadband. Por WhatsApp, y con un español perfecto, indicaban a la víctima que "acababa de ser seleccionado para un empleo" y que habían encontrado su contacto en Rekrute, una plataforma de empleo francesa legítima que había sufrido filtraciones de datos.

Tras el primer contacto, si la víctima realizaba su primer "trabajo" —clasificar hoteles en Google Maps—, le otorgaban un código para pasar a la siguiente fase: contactar con la "Asistente" y el "CEO" de la empresa vía Telegram. La operación se profesionalizaba en ese salto de plataforma: del mensaje informal de WhatsApp al entorno corporativo falso de Telegram.

Perfil falso del CEO de WTNBIT con logotipo robado
threat-hunter-recollection-26.png — El perfil del supuesto "Gerente WTNBIT", Tadeo Ontiveros. El logotipo corporativo fue robado de Poloniex Exchange y editado sobre la fotografía de un hombre con traje. La imagen es una foto montada: es poco probable que la persona real sepa que están usando su rostro para esta estafa.

Al visualizar el perfil del "CEO", los detalles empezaron a acumularse. El logotipo de la supuesta empresa WTNBIT era robado de Poloniex Exchange, simplemente renombrado. A las víctimas les indicaban que las ganancias serían pagadas en USDT a través de "su plataforma", un falso exchange que ellos mismos habían creado.

Logotipo de Phemex también suplantado por la red de estafadores
threat-hunter-recollection-29.jpg — El logotipo de Phemex, otra plataforma legítima de intercambio de criptomonedas cuyo branding fue suplantado por esta misma red de estafadores para dar credibilidad a sus sitios falsos.

Todas las transacciones iniciales las hacían mediante bancos nacionales, con pequeños montos para generar confianza. Luego prometían ganancias exorbitantes, pero incitando a las víctimas a depositar fondos en su plataforma de "exchange". Una vez que el dinero entraba ahí, desaparecía. Era un esquema ponzi con fachada de empleo remoto, donde las propias víctimas se pagaban entre ellas en las primeras rondas.

La Revelación: Infraestructura Reciclada y Pereza Operacional

Al inspeccionar el código fuente de la plataforma fraudulenta en vcimp[.]h21t[.]top, encontré un nivel de pereza operacional que casi resultaba ofensivo. La plataforma era una simple plantilla HTML mal configurada que los estafadores reutilizaban para diferentes marcas de fraude. Las referencias a los mismos canales de Telegram, los mismos servicios de imágenes genéricas como picsum.photos, y las mismas hojas de estilo Bootstrap maliciosas alojadas en lib.sinaapp.com evidenciaban que todas las operaciones provenían del mismo grupo.

Los muy vagos no ofuscaron nada. Fue fácil recopilar tantos datos como pude. Encontré otra versión del mismo exchange falso, con un poco más de diseño pero exactamente igual en estructura, con el idioma predefinido en indonesio. Lo único en común: todo alojado en Hong Kong.

Plataforma VCIMP falsa con idioma predefinido en indonesio
threat-hunter-recollection-27.jpeg — La plataforma VCIMP falsa con idioma predefinido en indonesio. Misma estructura, mismo código fuente, diferentes víctimas objetivo. Los estafadores operan campañas paralelas en múltiples idiomas.
Comparativa con la Industria: Task Scams y SIM Swapping

Investigadores de DomainTools y ThousandGuards han documentado cómo el clipboard poisoning y las páginas CAPTCHA falsas son utilizados en campañas de task scams para entregar malware como NetSupport RAT. Mi hallazgo sobre la reutilización de plantillas y la conexión con números sudafricanos añade una capa adicional: la infraestructura no solo se recicla para diferentes víctimas, sino para diferentes tipos de fraude (phishing laboral, crypto scam, apuestas fraudulentas). Esta transversalidad es un indicador de grupos criminales diversificados que operan múltiples líneas de negocio ilícito sobre la misma columna vertebral técnica.

Gráfico de VirusTotal mostrando la red de estafa piramidal interconectada
threat-hunter-recollection-25.jpeg — El gráfico de VirusTotal que mapea toda la red: desde dominios de apuestas fraudulentas (1win.xyz, klinehappy.com) hasta paneles de administración expuestos (vcimp.h21t.top) y números de teléfono sudafricanos utilizados para la ingeniería social.

El mapeo con VirusTotal Graph reveló una infraestructura sorprendentemente extensa pero mal asegurada: una serie consecutiva de dominios clonados (www.vcimpapp1.com hasta www.vcimpapp32.com) apuntando a IPs en Hong Kong con un error de base de datos MySQL expuesto.

Análisis de la red de estafa y conexión con ShinyHunters y Rekrute
threat-hunter-recollection-28.png — Mis notas de análisis durante la investigación: la conexión entre el número sudafricano, la filtración de Rekrute por ShinyHunters y la reutilización de plantillas web con referencias a los mismos canales de Telegram y backends.

La Conexión con ShinyHunters y la Filtración de Rekrute

¿Por qué Rekrute? Esta plataforma de empleo francesa fue víctima de una filtración masiva de datos unos años atrás. Entre las 8.225 bases de datos que el grupo ShinyHunters filtró y luego vendió en el mercado negro Empire, se encontraba la de Rekrute. Los estafadores no eligieron esa plataforma al azar: tenían acceso a una base de datos de personas buscando empleo remoto, el perfil perfecto para un task scam.

El gráfico de VirusTotal establecía un vínculo directo con ShinyHunters, con referencias a artículos de Cybernews, ZDNet y SecurityAffairs sobre filtraciones ejecutadas por este grupo. La base de datos de Rekrute utilizada para contactar a las víctimas había sido comprometida por este actor, demostrando cómo una filtración de datos puede convertirse en el insumo para campañas de fraude masivo meses o años después. Este mismo patrón de infraestructura descuidada y fugas de información es el que documenté en la Operación FakeWealth sobre cmdxcapital, donde un appDebug:true en Laravel expuso consultas SQL, tokens y rutas del servidor.

Conexión con ShinyHunters

Este tipo de correlación entre actores de amenazas y fraudes posteriores es exactamente el trabajo de un Threat Hunter: conectar puntos que otros ven aislados. La filtración de Rekrute no era solo un incidente de pérdida de datos; era el insumo para una operación de fraude masivo que seguía activa años después del breach original. Entender el ciclo de vida de los datos filtrados —desde el breach hasta la monetización vía fraudes— es una skill crítica en threat intelligence.

La Vulnerabilidad Reveladora: OpenSSH 7.4

Varios servidores de la red compartían la misma versión de OpenSSH: la 7.4, lanzada en diciembre de 2016 y con múltiples CVEs conocidos. Lo que pensé que no tendría relación —servidores en Hong Kong con sitios de apuestas, exchanges falsos y portales de empleo fraudulentos— resultó estar conectado por un detalle técnico: todos compartían la misma versión de servicios, en especial OpenSSH 7.4. Aunque la vulnerabilidad presente en esa versión era una simple enumeración de usuarios sin capacidad de otorgar acceso remoto, la coincidencia confirmaba que todos eran administrados por el mismo grupo.

Los estafadores usaban un servicio de reventa de dominios barato que aceptaba pagos en Bitcoin y USDT. Al menos cuatro de los sitios en el diagrama compartían el mismo código fuente en index.html: una plantilla genérica con referencias al mismo backend, los mismos comentarios hacia el mismo canal de Telegram. No eran sitios aislados. Era la misma gente con nombres distintos.

Lección Aprendida: Las Migas de Pan del Adversario

Los ciberdelincuentes a menudo reutilizan infraestructura y dejan migas de pan. Una simple consulta de Shodan por la versión de OpenSSH, un vistazo al código fuente de una plantilla web, o la correlación de canales de Telegram entre diferentes dominios pueden exponer toda la red. La pereza operacional del adversario es una de las mayores ventajas del threat hunter. El gráfico completo de VirusTotal está disponible en mi post original de LinkedIn y el hilo de X donde narré el hallazgo en tiempo real está en @tty_503.

Esta investigación me dejó una lección que se convertiría en la columna vertebral de todos mis casos posteriores: la infraestructura es el talón de Aquiles del adversario. Pivotar sobre dominios, IPs, versiones de software y canales de Telegram no es una técnica sofisticada; es curiosidad sistemática. Y funciona.

02. Exponiendo una Campaña Multi-Vector de Fraude Financiero

Apenas unas semanas después del caso de la red de estafa piramidal, un hilo suelto en Telegram me llevó a una operación mucho más sofisticada. Esta investigación me obligó a desarrollar habilidades de análisis de infraestructura comprometida y rastreo financiero en blockchain.

Skill Adquirida: Threat Intelligence Análisis de Infraestructura Comprometida Blockchain Forensics

El Combustible: Lumma Stealer

El punto de partida fue un compromiso masivo de credenciales corporativas utilizando el infostealer Lumma Stealer, una pieza de malware que opera bajo un modelo de Malware-as-a-Service (MaaS). Lo que hace particularmente peligroso a Lumma es su capacidad para robar tokens 2FA y cookies de sesión, ampliando el radio de daño más allá del simple robo de contraseñas.

La operación Lumma había sido desmantelada parcialmente en mayo de 2025 con la incautación de 2.300 dominios. Sin embargo, como demostró esta campaña, el ecosistema MaaS es notablemente resiliente: para julio de 2025 ya mostraba signos de reactivación. Gen Threat Labs documentó posteriormente la aparición de Remus, la variante de 64 bits de Lumma que emergió en febrero de 2026 con técnicas como EtherHiding para resolver C2s.

Lección de Threat Intelligence

Los takedowns de infraestructura son necesarios pero insuficientes. Lumma sobrevivió a la incautación de 2.300 dominios porque su modelo de negocio —desarrolladores que alquilan el malware a una red global de afiliados— no depende de una infraestructura fija. Esta comprensión de la resiliencia del ecosistema MaaS es fundamental para cualquier Threat Hunter: no basta con bloquear IoCs; hay que entender el modelo de negocio del adversario.

BEC e Infraestructura Robada en África

Con las credenciales robadas, los atacantes ejecutaron un Business Email Compromise (BEC) tomando control de servidores de terceros. El escondite: una VPS en Kenia con actividad en Truehost Cloud y Cloudpap.

Análisis de banner de servidor de correo en Proxmox
threat-hunter-recollection-1.jpeg — Análisis del banner del servidor: respuesta ESMTP Proxmox en el puerto 26, revelando que la infraestructura de los estafadores corre sobre Proxmox Mail Gateway en una VPS africana.

La elección de infraestructura en países con marcos regulatorios menos estrictos no es casual. Es un patrón documentado en múltiples investigaciones de la industria: los actores de amenazas buscan jurisdicciones donde el derribo rápido de servidores sea menos probable.

Conversación de scam de inversión en Telegram
threat-hunter-recollection-0.jpeg — La cuenta "CMDX CAPITAL INVESTMENT COMPANY" ofreciendo planes de inversión fraudulentos. La ingeniería social es el puente entre el robo de infraestructura y la monetización.
Interfaz del sitio fraudulento cmdxcapital.com y su IP en Kenia
threat-hunter-recollection-4.jpeg — El sitio fraudulento cmdxcapital.com expuesto junto con su IP geolocalizada en Kenia. La geolocalización de infraestructura es un arte en sí mismo dentro del threat hunting.

Siguiendo el Dinero en la Blockchain

La fase de monetización utilizaba billeteras de criptomonedas para recibir los fondos. La dirección de Bitcoin bc1qxs8aunxd7kkdq8wz063r4tum2429s5llul33am mostraba movimientos entre el 8 y 9 de septiembre de 2025. Esta habilidad de blockchain forensics —rastrear transacciones en redes públicas para identificar patrones de fraude— es cada vez más demandada en threat hunting, especialmente en casos de ransomware y fraudes financieros.

Rastreo de wallets de criptomonedas usadas en el fraude
threat-hunter-recollection-2.jpeg — El rastreo financiero: wallets en USDT, Litecoin, Ethereum y Bitcoin utilizadas para la monetización. La transparencia de la blockchain es un arma de doble filo para los atacantes.
Listado de IoCs de dominios clonados de la campaña
threat-hunter-recollection-3.jpeg — Colección de dominios fraudulentos defanged utilizados en la misma campaña de estafas, incluyendo stockmarketanalysis.live, apexreturns.live y vertexprimestock.com.
Vector de ataque inicial: cuenta de Telegram ofreciendo trabajo fraudulento
threat-hunter-recollection-5.jpeg — El vector de ingreso inicial: una cuenta de Telegram con número venezolano ofreciendo oportunidades de inversión. La ingeniería social es el punto de entrada común a fraudes y estafas.
Ciclo de Ataque Documentado

Lumma Stealer (Credenciales) -> BEC (Infraestructura Robada) -> Crypto Scam (Monetización). Este patrón demuestra que un scam de baja complejidad es solo la punta del iceberg de una operación de robo de activos corporativos mucho más sofisticada. Compartí los IoCs completos en mi post original de LinkedIn.

03. Diseccionando Nexilo-CC-Checker: Ingeniería Inversa de un Dropper Multi-etapa

El tercer caso marcó mi entrada de lleno en la ingeniería inversa de malware. Un binario de 14.4 MB distribuido en canales de Telegram como herramienta de carding resultó ser un dropper multi-etapa que desplegaba una armada de seis payloads.

Skill Adquirida: Ingeniería Inversa (Ghidra/x64dbg) Análisis Estático de PE Detección de TTPs

Técnicas de Evasión: API Hashing

El binario utilizaba API Hashing para ocultar llamadas a funciones sensibles como IsDebuggerPresent. En lugar de incluirlas en la tabla de importaciones, las resolvía en tiempo de ejecución mediante hashes —la constante 0x2b992ddfa232 cargada en RAX— sin dejar cadenas visibles para el análisis estático. Esta técnica, documentada en profundidad por investigadores como Hasherezade, es una de las primeras barreras que un analista de malware debe aprender a sortear. El compendio de técnicas de inyección y evasión del C2 Builder documenta exactamente este mismo mecanismo desde la perspectiva ofensiva: cómo se implementa el API Hashing para evadir firmas estáticas.

Técnica de API Hashing para evadir detección estática
threat-hunter-recollection-7.jpeg — La técnica de API Hashing: el hash 0x2b992ddfa232 resuelto dinámicamente contra las exportaciones de DLLs del sistema. Comparar este hallazgo con los análisis de Hasherezade sobre malware que utiliza esta misma técnica valida la prevalencia del método.

La función FUN_140001010 constituía el punto de no retorno del dropper.

Flujo de ejecución del dropper mostrando el punto de no retorno
threat-hunter-recollection-6.jpeg — El punto de no retorno: FUN_140001010 ejecuta el dropper completo. La capacidad de identificar estas funciones críticas en Ghidra es una habilidad central del análisis de malware.

La Armada de Payloads y la Persistencia

El dropper liberaba seis payloads en AppData\Roaming con atributos de OCULTO + SISTEMA y nombres que imitaban procesos legítimos. La persistencia se lograba mediante la clave Run del Registro.

Instalación en AppData con atributos de ocultación
threat-hunter-recollection-8.jpeg — La instalación furtiva: SHGetFolderPathW, SetFileAttributesW con flag 6 (OCULTO + SISTEMA) y nombres de archivo miméticos.
Payloads extraídos incluyendo el binario de Nuitka de 12.8 MB
threat-hunter-recollection-9.jpeg — Los payloads desplegados: un binario de Nuitka de ~12.8 MB (script de Python empaquetado) y componentes auxiliares que conforman la suite completa.
Persistencia mediante clave Run del Registro de Windows
threat-hunter-recollection-13.jpeg — La técnica de persistencia en la clave Run del Registro con RegSetValueExA. Esta TTP aparece en el MITRE ATT&CK como T1547.001 y es una de las más utilizadas por malware de todas las familias.
Diagrama de secuencia completo de TTPs del dropper
threat-hunter-recollection-10.jpeg — El mapa completo de TTPs modelado como diagrama de secuencia: Evasión, Dropping, Instalación, Camuflaje y Ejecución. Este tipo de documentación visual es exactamente lo que un equipo de threat hunting necesita para comunicar hallazgos a stakeholders no técnicos.
Comparativa con Maltiverse

El análisis de inteligencia en Maltiverse confirmó posteriormente la clasificación como malicioso, vinculándolo a familias como Xworm, Svcstealer y Stealc, con actividad de red de RedLine Stealer y MetaStealer. Esta correlación entre mi análisis manual y las detecciones automatizadas de plataformas de threat intelligence valida la precisión del reversing y demuestra la importancia de combinar ambas aproximaciones.

04. Detrás de Cámaras: Automatizando el Triage con Herramientas Propias

El análisis de Nexilo-CC-Checker no fue un proceso pasivo. El binario usaba API Hashing, así que tuve que forzarlo a revelar sus secretos. Esta fase fue donde adquirí la habilidad de automatizar el triage con herramientas propias.

Skill Adquirida: Automatización de Triage Scripting en Bash para Volcado de Memoria Desarrollo de analystty (Python)

El Búnker: Proxmox VE

Todo análisis de malware con evasión comienza con una decisión de infraestructura. Mi elección es Proxmox VE: snapshots, rollbacks instantáneos y aislamiento total. Este mismo entorno de laboratorio está documentado en la guía de infraestructura ofuscada con WireGuard y proxy residencial que utilizo para todas mis investigaciones.

Panel de administración de Proxmox VE en el laboratorio
threat-hunter-recollection-14.jpeg — El panel de Proxmox VE 9.0.3, nodo 'vms' en IP 192.168.122.104. La capacidad de construir y gestionar entornos de análisis aislados es una skill fundamental que muchas organizaciones buscan en un Threat Hunter.

Forzando la Mano: dump.sh

Escribí un script de Bash —dump.sh— que orquestaba la ejecución del binario bajo depurador usando Radare2 para el dumping automático de memoria. El script se apoyaba en un archivo functions_to_dump.txt que mapeaba direcciones de memoria virtual de cada módulo.

Ejecución del script dump.sh automatizando volcados con Radare2
threat-hunter-recollection-11.jpeg — El script dump.sh en acción: automatizando dumps globales y extracción individual de funciones con Radare2. La automatización no es un lujo: es un multiplicador de fuerza.
Resultado de volcados masivos y archivo functions_to_dump.txt
threat-hunter-recollection-12.jpeg — Izquierda: confirmación de volcados completados. Derecha: el archivo functions_to_dump.txt con direcciones de memoria mapeadas quirúrgicamente.

analystty: La Navaja Suiza Personal

Con los dumps en mano, usé Ghidra para decompilar a pseudo-C. Pero el multiplicador de fuerza fue analystty, mi librería de Python que creé originalmente para estudiar ransomware Dvju y que adapté para acelerar la identificación de patrones maliciosos. La filosofía es simple: automatizar lo repetitivo para dedicar el tiempo humano a lo que requiere criterio.

El Valor de las Herramientas Propias

En un ecosistema donde herramientas como IDA Python o Ghidra scripting dominan, construir una herramienta propia como analystty demuestra una capacidad que va más allá del uso de software: es la habilidad de resolver problemas de análisis con código. Esta skill —documentada en profundidad en analystty: Automatizando el Triage de Malware PE con Python, Capstone y x64dbg— es precisamente lo que diferencia a un analista de malware de un Threat Hunter que puede construir su propio arsenal.

05. Deconstruyendo NetSupport RAT: La Kill Chain Completa

La quinta investigación fue la más completa en términos de análisis de kill chain: desde el correo de phishing hasta la conexión C2, pasando por cada eslabón de la cadena de infección.

Skill Adquirida: Análisis de Kill Chain Completa Análisis de Cabeceras de Correo Identificación de LOLBins y DLL Sideloading

Contexto Global de NetSupport RAT

NetSupport Manager fue la séptima amenaza más prevalente en 2024. Cybereason documentó campañas que usaban sitios maliciosos de WordPress con CAPTCHAs falsos para entregarlo. ThousandGuards identificó clipboard poisoning combinado con PowerShell ofuscado. Mi investigación se sitúa en este contexto global, pero añade un vector de entrada específico: la suplantación de una marca española (Druni) con infraestructura nigeriana.

Correo de phishing suplantando a Druni detectado en Gmail
threat-hunter-recollection-15.jpeg — El correo fraudulento en la carpeta de Spam de Gmail. La capacidad de identificar phishing desde el propio buzón del analista es el primer filtro del threat hunting.
Cabeceras de autenticación del correo: SPF, DKIM y DMARC
threat-hunter-recollection-16.jpeg — El análisis de cabeceras: SPF PASS, DKIM PASS, DMARC FAIL. Entender la autenticación de correo es una skill fundamental que permite identificar suplantación incluso cuando los filtros automáticos fallan.

Evasión y Redirección

El enlace del correo llevaba a un script hreflon.htm alojado en Google Cloud Storage, abusando de servicios de confianza para evadir SmartScreen. Esta táctica de abuso de infraestructura cloud legítima es un patrón creciente documentado por múltiples investigadores.

Listado de artefactos forenses del directorio de trabajo
threat-hunter-recollection-17.jpeg — Los artefactos forenses extraídos de la campaña: correo original .eml, script file.ps1, hreflon.htm, index.html y archivos comprimidos con componentes maliciosos protegidos por contraseña.
Script hreflon.htm de redirección alojado en Google Cloud Storage
threat-hunter-recollection-18.jpeg — El script hreflon.htm actuando como TDS: extrae parámetros de la URL y redirige al dominio intermedio gremorygame.net.

El dominio intermedio gremorygame[.]net mostraba una fachada de "Coming Soon" mientras en el backend corría la lógica maliciosa. Esta técnica de ocultar infraestructura tras páginas señuelo es un patrón recurrente en campañas sofisticadas.

Página señuelo 'Coming Soon' de gremorygame.net
threat-hunter-recollection-21.jpeg — La fachada de gremorygame.net: una cortina de humo perfecta para las rutas maliciosas en el backend.

PowerShell Ofuscado y DLL Sideloading

El script file.ps1 utilizaba ofuscación simple pero efectiva, dividiendo cadenas como 'iw'+'r' para reconstruir Invoke-WebRequest. El payload final utilizaba DLL Sideloading sobre el ejecutable legítimo client32.exe de NetSupport Manager.

Script file.ps1 con ofuscación de cadenas y ejecución fileless
threat-hunter-recollection-19.jpeg — El script de PowerShell file.ps1: ofuscación simple y ejecución fileless. La capacidad de leer y desofuscar scripts maliciosos es una skill diaria en threat hunting.
Suite completa de NetSupport Manager con DLLs troyanizadas
threat-hunter-recollection-20.jpeg — La suite de NetSupport Manager: client32.exe legítimo junto a las DLLs troyanizadas. Identificar LOLBins y DLL Sideloading es una habilidad avanzada de análisis de malware.
Archivo authroot.stl utilizado como camuflaje
threat-hunter-recollection-22.jpeg — El archivo authroot.stl: una lista de certificados de Microsoft utilizada como camuflaje. La capacidad de identificar archivos legítimos usados como señuelo es parte del análisis de TTPs.
Ejecución del script forense sc.py sobre el directorio hsmo
threat-hunter-recollection-23.jpeg — El script forense sc.py procesando 16 archivos y generando reportes individuales para las DLLs troyanizadas.

La Kill Chain Visualizada

El diagrama final unifica todos los hallazgos en una representación visual de la cadena de infección completa. Esta capacidad de comunicar hallazgos técnicos de forma visual es lo que permite a un Threat Hunter transmitir inteligencia accionable a equipos de respuesta, directivos y stakeholders no técnicos.

Diagrama completo de la cadena de infección: Druni a NetSupport RAT
threat-hunter-recollection-24.jpeg — El mapa completo de la campaña: desde el correo de phishing y Google Cloud Storage, pasando por el TDS y el PowerShell ofuscado, hasta el DLL Sideloading de NetSupport RAT y la conexión al C2 en Rumanía (5.252.178.23).
IOCs Clave de la Campaña

06. El Hilo que lo Conecta Todo: El Perfil del Threat Hunter

Cinco investigaciones, cinco vectores distintos, pero un mismo hilo conductor: la metodología. Si algo demuestra esta crónica es que un Threat Hunter no se define por una certificación o un título, sino por la acumulación de habilidades forjadas en el laboratorio y validadas contra el adversario real.

Cada caso fue un peldaño en una escalera de capacidades que hoy definen mi perfil:

Por Qué Este Perfil es Relevante

El threat hunting no es solo encontrar malware. Es conectar puntos que otros ven aislados. Es entender que un número de teléfono sudafricano, una VPS en Kenia, un dropper en un canal de Telegram y un correo de Druni pueden ser piezas del mismo rompecabezas. Es saber que los IoCs caducan pero las TTPs persisten. Es tener la capacidad de construir herramientas cuando las existentes no alcanzan.

En un ecosistema de amenazas donde los actores evolucionan más rápido que los mecanismos de defensa —Lumma sobreviviendo a takedowns masivos, NetSupport RAT mutando a clipboard poisoning, task scams diversificándose a fraudes con criptomonedas—, las organizaciones necesitan Threat Hunters que no solo sepan usar herramientas, sino que entiendan al adversario.

Esta recollection es mi evidencia. No es un currículum: es el diario de un cazador que sigue aprendiendo, sigue construyendo y sigue documentando. Porque la threat intelligence sin difusión es solo un archivo en un disco duro, pero la threat intelligence documentada, contextualizada y compartida es blindaje para toda la comunidad.

El laboratorio sigue funcionando. Los canales de Telegram siguen siendo monitoreados. Las muestras siguen llegando. La crónica continuará.

/¿Querés ver las herramientas y la infraestructura detrás de estas investigaciones?

Cada caso de esta crónica se apoyó en un stack técnico documentado en el portafolio: desde el triage automatizado con analystty hasta el túnel ofuscado que blindó todas las conexiones durante el análisis de infraestructura criminal.

analystty: Triage Automatizado → Infraestructura Ofuscada → C2 Builder & Técnicas →

07. Referencias y Enlaces