Especialistas de Prodaft, informaron que las bandas de ransomware utilizan cada vez más un nuevo malware llamado Skitnet («Bossnet») para realizar actividades sigilosas posteriores a la explotación en redes vulneradas.

Dicho malware, ofrecido en foros clandestinos como RAMP desde abril de 2024, comenzó a ganar tracción significativa entre las bandas de ransomware desde principios de 2025.

Prodaft le dijo a BleepingComputer que han observado múltiples operaciones de ransomware que implementan Skitnet en ataques del mundo real, incluidos BlackBasta en ataques de phishing de Microsoft Teams contra la empresa y Cactus.

El malware promocionado en foros clandestinos
Fuente: Prodaft

Puerta trasera sigilosa y poderosa

El ataque comienza con un cargador basado en Rust que descifra un binario Nim cifrado con ChaCha20 y lo carga en la memoria. Dicha carga, establece un shell inverso basado en DNS para la comunicación con el servidor de comando y control (C2), iniciando la sesión con consultas DNS aleatorias. El panel C2 permite al operador ver la IP, la ubicación y el estado del objetivo, y emitir comandos para su ejecución.

El malware inicia tres subprocesos: uno para enviar solicitudes DNS, uno para monitorear y exfiltrar la salida del shell, y otro para escuchar y descifrar comandos de las respuestas DNS.

Panel de administración de Skitnet
Fuente: Prodaft

Además del conjunto de comandos principal, los operadores también pueden aprovechar una capacidad separada que involucra un cargador .NET, que les permite ejecutar scripts de PowerShell en la memoria, para una personalización de ataque aún más profunda.

Cargador .NET de Skitnet
Fuente: Prodaft

El motivo que justifica el aumento en el uso de este malware, es porque Skitnet, es un malware estándar, mas barato, más rápido de implementar y puede dificultar la atribución, ya que muchos actores lo utilizan.

En el ámbito del ransomware, ambos enfoques tienen ganado su lugar, incluso una combinación de los mismos, pero las capacidades de Skitnet lo hacen particularmente atractivo para los ciberdelincuentes.

Prodaft ha publicado indicadores de compromiso (IoC) asociados con Skitnet en su  repositorio de GitHub.

Fuente

https://www.bleepingcomputer.com/news/security/ransomware-gangs-increasingly-use-skitnet-post-exploitation-malware/