Investigadores de ciberseguridad han descubierto una campaña de phishing sofisticada llevada a cabo por el grupo TA585, que distribuye un malware llamado MonsterV2. Este malware, un troyano de acceso remoto (RAT), cuenta con funcionalidades de robo de información, control remoto y la capacidad de cargar otros payloads maliciosos.

El grupo TA585 se distingue por controlar toda la cadena de ataque, desde la infraestructura hasta la instalación del malware, sin depender de terceros. MonsterV2, también conocido como Aurotun Stealer, se promociona en foros criminales desde febrero de 2025 y se ha distribuido previamente a través de CastleLoader.

Las campañas de phishing utilizan señuelos temáticos del Servicio de Impuestos Internos de EE.UU. (IRS) para engañar a los usuarios y hacer clic en enlaces maliciosos que conducen a PDFs. Estos PDFs, a su vez, enlazan a páginas web que utilizan la táctica de ingeniería social ClickFix para activar la infección mediante la ejecución de comandos maliciosos en Windows Run o PowerShell. Estos comandos ejecutan scripts de PowerShell que instalan MonsterV2.

En abril de 2025, se detectaron ataques que utilizaban inyecciones de JavaScript malicioso en sitios web legítimos, mostrando superposiciones de verificación CAPTCHA falsas para iniciar el ataque a través de ClickFix, resultando en la entrega del malware a través de un comando PowerShell.

Inicialmente, la campaña distribuía Lumma Stealer, pero TA585 cambió a MonsterV2 a principios de 2025. La infraestructura asociada a estas inyecciones JavaScript también se ha relacionado con la distribución de Rhadamanthys Stealer.

TA585 también ha utilizado notificaciones por correo electrónico de GitHub, triggered al etiquetar usuarios en avisos de seguridad falsos que enlazan a sitios web controlados por los atacantes. Estas actividades se han asociado con CoreSecThree, un framework sofisticado utilizado para propagar malware stealer desde febrero de 2022.

MonsterV2 es un malware completo que puede robar datos sensibles, reemplazar direcciones de criptomonedas en el portapapeles, establecer control remoto mediante HVNC, recibir y ejecutar comandos de un servidor externo y descargar payloads adicionales. Se vende por un actor de habla rusa por $800 USD al mes (versión Standard) o $2,000 USD al mes (versión Enterprise, con soporte para stealer, loader, HVNC y CDP). El malware evita infectar países de la Comunidad de Estados Independientes (CIS).

MonsterV2 utiliza un crypter llamado SonicCrypt para evadir la detección, realizando comprobaciones anti-análisis antes de descifrar y cargar el payload. Tras su lanzamiento, el malware descifra y resuelve las funciones de la API de Windows, eleva sus privilegios y decodifica una configuración embebida para conectarse al servidor de comando y control (C2), determinando su próximo curso de acción basándose en parámetros como la detección de debuggers, sandboxes y la configuración de persistencia en el host.

Fuente original: Ver aquí