SharkLoader: nuevo loader despliega Cobalt Strike en organismos gubernamentales y diplomáticos de Asia

El equipo de Kaspersky ha documentado una cadena de ataque hasta ahora no vista que combina un loader personalizado —SharkLoader— con el conocido framework de post-explotación Cobalt Strike Beacon. La operación, rastreada internamente bajo el nombre StrikeShark, ha apuntado a objetivos de alto perfil en el sudeste y este de Asia.

¿Qué es SharkLoader?

SharkLoader actúa como pieza inicial de la cadena de infección: su función principal es eludir las defensas del sistema comprometido y, una vez establecida la persistencia mínima necesaria, descargar y ejecutar Cobalt Strike Beacon en memoria. Este patrón —loader ligero + framework de C2 robusto— es una estrategia habitual entre grupos con recursos suficientes para desarrollar herramientas propias que no estén quemadas en bases de datos de firmas.

El hecho de que SharkLoader no hubiera sido documentado previamente indica que el actor detrás de StrikeShark ha invertido esfuerzo en mantener baja su detección, probablemente operando durante un período prolongado antes de ser identificado.

Objetivos y contexto geopolítico

Los blancos confirmados incluyen una organización diplomática con sede en Indonesia y varios organismos pertenecientes al sector gubernamental taiwanés. La selección de estos objetivos apunta a un interés en inteligencia geopolítica o acceso a comunicaciones sensibles, aunque Kaspersky no ha atribuido públicamente la campaña a ningún actor estatal concreto.

El uso de Cobalt Strike como payload de segunda fase no es casual: proporciona al atacante capacidades completas de movimiento lateral, exfiltración de datos y pivoting dentro de la red, todo ello sobre canales C2 que imitan tráfico web legítimo.

Implicaciones defensivas

La combinación loader desconocido + Cobalt Strike plantea un reto en dos frentes:

  1. Detección del loader: al ser inédito, las soluciones basadas exclusivamente en firmas estáticas pueden no reconocerlo en la fase inicial.
  2. Detección del beaconing: Cobalt Strike genera tráfico C2 sobre HTTP/S con patrones característicos (intervalos de sleep, jitter, perfil de comunicación). Este segundo vector es donde los SIEM con reglas de comportamiento tienen mayor capacidad de actuación.

La prioridad inmediata para cualquier equipo de seguridad es revisar los registros de proxy y firewall en busca de patrones de comunicación periódica hacia infraestructura externa no categorizada, especialmente si los intervalos son regulares o el volumen de datos transferido es inusualmente constante.


¿Estás cubierto en DefensOps?

DefensOps detecta la actividad de comando y control de Cobalt Strike Beacon mediante la regla 111021, alineada con la técnica MITRE ATT&CK T1071.001 – Application Layer Protocol: Web Protocols. Esta regla analiza el tráfico HTTP/S saliente en busca de los patrones de beaconing propios de Cobalt Strike —incluyendo intervalos de sleep, estructuras de URI y cabeceras anómalas— alertando al equipo SOC antes de que el atacante pueda avanzar en el ciclo de intrusión.

Esta cobertura está disponible desde el plan Professional.

👉 ¿Quieres saber si tu organización detectaría una campaña como StrikeShark? Consulta nuestros planes o solicita una demo gratuita y comprueba en minutos qué reglas están activas en tu entorno.


Fuente: The Hacker News – New SharkLoader Malware Deploys Cobalt Strike in StrikeShark Cyberattacks