ChaosBot: El Malware en Rust que usa Discord y Destruye Archivos

Un nuevo malware está causando preocupación entre los expertos en ciberseguridad: ChaosBot, una puerta trasera escrita en Rust que utiliza Discord como canal de comando y control (C2). A esto se suma una evolución aún más peligrosa del ransomware Chaos, ahora con funciones destructivas y de secuestro del portapapeles.

Estos descubrimientos, reportados por las firmas eSentire y Fortinet, revelan un ecosistema de amenazas que combina robo de credenciales, ingeniería social, túneles inversos y técnicas avanzadas de evasión.

En TecnetOne te explicamos cómo funciona este ataque, por qué representa una amenaza creciente y qué medidas debes implementar para proteger tu entorno.

Qué es ChaosBot y cómo se propaga

El ChaosBot es una backdoor desarrollada en Rust, observada por primera vez en septiembre de 2025 dentro de una empresa de servicios financieros. Su propósito es permitir a los atacantes ejecutar comandos de forma remota, robar archivos y mantener acceso persistente a los sistemas comprometidos.

El acceso inicial se logra mediante credenciales robadas o mal configuradas. En el caso analizado, los atacantes usaron un usuario de Active Directory sobreprivilegiado y credenciales de VPN comprometidas. Desde ahí, ejecutaron comandos a través de WMI (Windows Management Instrumentation) para desplegar el malware.

Otras variantes emplean phishing con accesos directos maliciosos (.LNK) que ejecutan comandos de PowerShell y descargan el payload desde servidores externos, mostrando al mismo tiempo un archivo PDF señuelo, por ejemplo, una supuesta comunicación del Banco Estatal de Vietnam.

Cómo opera ChaosBot

Este malware se caracteriza por su sofisticación técnica y su capacidad para mezclarse con procesos legítimos del sistema.

Principales características técnicas:

1. Lenguaje y persistencia: está programado en Rust y su carga útil principal (msedge_elf.dll) se ejecuta mediante DLL sideloading, aprovechando un binario legítimo de Microsoft Edge (identity_helper.exe).

2. Comando y control por Discord: los operadores crean cuentas y canales de Discord con nombres que imitan a los de las víctimas para enviar órdenes, recibir datos y mover archivos robados. Esta técnica dificulta su detección, ya que el tráfico parece legítimo.

3. Proxy y movimiento lateral: descarga una herramienta de proxy inverso (FRP) para mantener acceso constante, e incluso intenta usar VS Code Tunnel como backdoor alternativo.

4. Funciones principales: ejecutar comandos de PowerShell, capturar pantallas, subir o descargar archivos y comunicarse con el servidor C2 en tiempo real.

5. Evasión: desactiva el rastreo de eventos (ETW) en ntdll!EtwEventWrite y verifica si está en entornos virtuales, evitando correr en VMware o VirtualBox para no ser analizado.

En resumen, ChaosBot es una herramienta de espionaje y control remoto disfrazada de software legítimo, capaz de moverse lateralmente dentro de una red corporativa y exfiltrar información sin levantar sospechas.

Lee más: Ransomware as a Service: Una Amenaza Alarmante

Chaos-C++ Ransomware: la segunda etapa del ataque

Mientras ChaosBot sirve como herramienta de acceso y reconocimiento, la siguiente fase del ataque usa una versión mejorada del ransomware Chaos, ahora escrita en C++, que se enfoca en maximizar el daño.

Según Fortinet FortiGuard Labs, el nuevo Chaos-C++ combina cifrado, eliminación irreversible de archivos y manipulación del portapapeles.

Sus funciones más destructivas:

1. Eliminación permanente de archivos: los documentos mayores a 1.3 GB no se cifran, se borran directamente, dejando a la víctima sin posibilidad de recuperación.

2. Secuestro del portapapeles: el ransomware monitoriza el portapapeles del sistema y reemplaza direcciones de criptomonedas con las del atacante, redirigiendo cualquier transferencia.

3. Flujo de ejecución adaptable: si detecta el archivo %APPDATA%\READ_IT.txt, entra en modo de vigilancia; si no, deshabilita las opciones de recuperación y cifra archivos menores a 50 MB.

4. Cifrado robusto: usa métodos simétricos/asimétricos combinados con XOR, garantizando la corrupción de archivos incluso si el cifrado falla.

Este enfoque demuestra que el objetivo ya no es solo extorsionar, sino provocar pérdidas irreversibles que aumenten la presión sobre las víctimas.

Cómo identifican y atacan a sus víctimas

Los ataques de ChaosBot y Chaos-C++ se centran en entornos empresariales con servicios expuestos (VPN, escritorios remotos, cuentas administrativas) o en organizaciones que no segmentan adecuadamente su red.

El uso de Discord como canal de control complica la detección, ya que el tráfico C2 viaja dentro de una aplicación legítima.

Además, las técnicas de DLL sideloading y phishing con LNK siguen siendo efectivas, especialmente cuando los usuarios no reconocen archivos falsos disfrazados de documentos oficiales.

Diagrama de la cadena de ataque (Fuente: esentire.com)

Qué riesgos enfrentan las empresas

Este tipo de campañas puede tener efectos devastadores en cuestión de horas.

Las víctimas enfrentan:

1. Pérdida total de datos, sin opción de recuperación.

2. Interrupción operativa prolongada, afectando la continuidad del negocio.

3. Robo de información confidencial, como credenciales, reportes financieros o propiedad intelectual.

4. Daños reputacionales y legales, especialmente si se filtran datos de clientes o empleados.

La combinación de espionaje (ChaosBot) y destrucción (Chaos-C++) convierte esta amenaza en un ataque híbrido que mezcla ransomware, troyanos y técnicas de persistencia avanzada.

Títulos similares: Trinity of Chaos: Una Alianza Cibercriminal

Cómo protegerte del ecosistema Chaos

En TecnetOne, recomendamos aplicar una estrategia de defensa en profundidad, que combine controles técnicos, políticas de acceso y capacitación constante.

Estas son las medidas más efectivas frente a ChaosBot y Chaos-C++:

Credenciales y acceso

1. Cambia inmediatamente las contraseñas de VPN y cuentas de servicio.

2. Usa autenticación multifactor (MFA) en todos los accesos remotos.

3. Implementa políticas de mínimo privilegio y controla los accesos administrativos con JIT/JEA (Just-In-Time / Just-Enough-Admin).

Endpoints y monitoreo

1. Detecta DLLs anómalas o procesos como identity_helper.exe que carguen librerías no estándar.

2. Monitorea comandos de PowerShell ejecutados desde accesos directos o carpetas temporales.

3. Analiza llamadas modificadas a ntdll!EtwEventWrite, que indican evasión de registro.

4. Observa conexiones salientes a Discord y túneles FRP.

Red y filtrado

1. Bloquea o inspecciona conexiones a Discord desde entornos corporativos.

2. Restringe servicios de proxy inverso y aplica inspección TLS en canales cifrados sospechosos.

3. Implementa filtrado de salida (egress filtering) estricto para evitar exfiltraciones.

Correo y concientización

1. Bloquea archivos .LNK adjuntos en correos o conviértelos en vistas seguras.

2. Capacita a tu equipo para reconocer correos de phishing y documentos PDF engañosos.

Copias de seguridad

1. Mantén backups inmutables y desconectados (air-gapped).

2. Verifica regularmente que puedan restaurarse.

3. Limita los permisos del sistema de respaldo para evitar que el ransomware los elimine.

Detección y respuesta temprana

La clave para mitigar el impacto de ChaosBot es la detección proactiva.

Busca indicios como:

1. Actividad anómala en API de Discord.

2. Aparición de archivos como msedge_elf.dll o identity_helper.exe desconocidos.

3. Nuevos servicios persistentes o procesos relacionados con FRP o VS Code Tunnel.

4. Creación de %APPDATA%\READ_IT.txt.

Si detectas alguna señal, aísla inmediatamente el dispositivo afectado, realiza un análisis forense y revisa los logs de acceso remoto (WMI, RDP, VPN).

Conclusión

ChaosBot y Chaos-C++ representan una nueva generación de malware modular: inteligente, destructivo y diseñado para evadir la detección.

Su capacidad de aprovechar canales legítimos como Discord y técnicas avanzadas de persistencia los convierte en una amenaza difícil de contener.

La única forma de enfrentarlos es anticiparse.

Refuerza tus controles de identidad, monitoriza tu red en tiempo real y forma a tu equipo en detección temprana.

En TecnetOne, ayudamos a las empresas a prevenir, detectar y responder a amenazas complejas como estas, implementando soluciones de seguridad adaptadas a cada entorno.

Porque la ciberseguridad ya no se trata solo de proteger sistemas, sino de proteger la continuidad de tu negocio.