{"id":165129,"date":"2025-10-29T07:29:08","date_gmt":"2025-10-29T14:29:08","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=165129"},"modified":"2025-11-11T08:01:04","modified_gmt":"2025-11-11T16:01:04","slug":"new-windows-based-malware-family-airstalk","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/","title":{"rendered":"Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro"},"content":{"rendered":"<h2>Resumen ejecutivo<\/h2>\n<p>Descubrimos una nueva familia de malware basada en Windows que nombramos Airstalk, disponible en variantes PowerShell y .NET. Determinamos con confianza media que un posible actor de amenazas de un Estado naci\u00f3n utiliz\u00f3 este malware en un probable ataque a la cadena de suministro. Creamos el cl\u00faster de actividad de amenazas CL-STA-1009 para identificar y rastrear cualquier otra actividad relacionada.<\/p>\n<p>Airstalk utiliza indebidamente la API de AirWatch para la gesti\u00f3n de dispositivos m\u00f3viles (MDM), que ahora se llama Workspace ONE Unified Endpoint Management. Utiliza la API para establecer un canal encubierto de comando y control (C2), principalmente a trav\u00e9s de la funci\u00f3n AirWatch para gestionar los atributos personalizados de los dispositivos y la carga de archivos.<\/p>\n<p>Airstalk realiza las siguientes funciones:<\/p>\n<ul>\n<li>Emplea un protocolo multiproceso de comunicaci\u00f3n\u00a0C2<\/li>\n<li>Incorpora el control de versiones<\/li>\n<li>Utiliza un certificado probablemente robado para firmar algunas de las muestras encontradas<\/li>\n<\/ul>\n<p>Este malware est\u00e1 dise\u00f1ado para exfiltrar datos confidenciales del navegador, incluido lo siguiente:<\/p>\n<ul>\n<li>Cookies<\/li>\n<li>Historial de navegaci\u00f3n<\/li>\n<li>Marcadores<\/li>\n<li>Capturas de pantalla<\/li>\n<\/ul>\n<p>Tambi\u00e9n identificamos otras tareas dentro de las muestras encontradas que el autor de amenazas no implement\u00f3.<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 97.9327%;\">\n<tbody>\n<tr>\n<td style=\"width: 60.0446%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 194.196%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/containers-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Contenedores<\/b><\/a><b>, <\/b><a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/cloud\/\" target=\"_blank\" rel=\"noopener\"><b>nube<\/b><\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><a id=\"post-163982-_heading=h.qf0ysy7uen6a\"><\/a><a id=\"post-163982-_heading=h.f9j4ok53rp2a\"><\/a>An\u00e1lisis t\u00e9cnico<\/h2>\n<p>Identificamos dos variantes principales del malware Airstalk, una escrita en PowerShell y otra escrita en .NET. La variante .NET de Airstalk tiene m\u00e1s capacidades que la variante PowerShell y parece estar en una fase de desarrollo m\u00e1s avanzada.<\/p>\n<p>A este malware lo llamamos Airstalk porque utiliza indebidamente la API MDM de AirWatch para las comunicaciones de C2. Ambas variantes emplean el mismo canal encubierto para el C2, pero los protocolos\u00a0C2 y los navegadores objetivo difieren ligeramente.<\/p>\n<h3><a id=\"post-163982-_heading=h.rz258divmcgz\"><\/a>Variante PowerShell de Airstalk<\/h3>\n<h4><a id=\"post-163982-_heading=h.72ya3n7g5xa8\"><\/a>Implementaci\u00f3n del canal encubierto PowerShell<\/h4>\n<p>Airstalk utiliza el endpoint de <span style=\"font-family: 'courier new', courier, monospace;\">dispositivos<\/span> <em>(<span style=\"font-family: 'courier new', courier, monospace;\">\/api\/mdm\/devices\/<\/span><\/em>) de la API MDM de AirWatch para las comunicaciones de C2 encubiertas con el atacante. Estas comunicaciones\u00a0C2 usan la funci\u00f3n de atributos personalizados del dispositivo dentro de la API MDM de AirWatch para almacenar los detalles de comunicaci\u00f3n de la puerta trasera y utilizarla como punto muerto.<\/p>\n<p>Un \u201cpunto muerto\u201d (<em>dead drop<\/em>) es un m\u00e9todo secreto de comunicaci\u00f3n utilizado para pasar objetos o informaci\u00f3n entre individuos sin que se conecten directamente. Los adversarios suelen utilizar esta t\u00e9cnica en el espionaje, donde una persona deja el objeto en un lugar oculto y la otra lo recupera m\u00e1s tarde.<\/p>\n<p>El malware tambi\u00e9n aprovecha otro endpoint de la API <em>(<span style=\"font-family: 'courier new', courier, monospace;\">\/api\/mam\/blobs\/uploadblob<\/span><\/em>) para cargar archivos con distintos fines.<\/p>\n<p>La comunicaci\u00f3n de C2 se basa en mensajes JSON a trav\u00e9s del endpoint de la API de <span style=\"font-family: 'courier new', courier, monospace;\">dispositivos<\/span>, que contienen al menos los siguientes campos obligatorios (primer esquema):<\/p>\n<pre class=\"lang:default decode:true\">{\r\n\r\n\u201cName\u201d : \u201c&lt;CLIENT_UUID&gt;\u201d,\r\n\r\n\u201cValue\u201d : \u201c&lt;SERIALIZED_MESSAGE&gt;\u201d,\r\n\r\n\u201cUuid\u201d : \u201c&lt;CLIENT_UUID&gt;\u201d,\r\n\r\n\u201cApplication\u201d : \u201cservices.exe\u201d,\r\n\r\n\u201cApplicationGroup\u201d : \u201cservices\u201d\r\n\r\n}<\/pre>\n<ul>\n<li><strong>CLIENT_UUID<\/strong>: leer a trav\u00e9s de Windows Management Instrumentation (WMI) para contener el valor real del dispositivo comprometido.<\/li>\n<li><strong>SERIALIZED_MESSAGE<\/strong>: mensaje JSON codificado en Base64.<\/li>\n<\/ul>\n<p>El mensaje serializado enviado dentro del campo <span style=\"font-family: 'courier new', courier, monospace;\">Valor<\/span>\u00a0tiene los siguientes campos m\u00ednimos (segundo esquema):<\/p>\n<pre class=\"lang:default decode:true\">{\r\n\r\n\u201cmethod\u201d : \u201c&lt;MESSAGE_TYPE&gt;\u201d,\r\n\r\n\u201cuuid\u201d : \u201c&lt;CLIENT_UUID&gt;\u201d,\r\n\r\n\u201csender\u201d ; \u201c&lt;SENDER_ROLE&gt;\u201d\r\n\r\n}<\/pre>\n<ul>\n<li><strong>CLIENT_UUID<\/strong>: valor real del Identificador \u00danico Universal (UUID) del dispositivo comprometido.<\/li>\n<li><strong>MESSAGE_TYPE<\/strong>: var\u00eda en funci\u00f3n del objetivo del mensaje.<\/li>\n<li><strong>SENDER_ROLE<\/strong>: definido como <span style=\"font-family: 'courier new', courier, monospace;\">cliente <\/span>para todos los mensajes enviados desde el dispositivo comprometido hacia el endpoint de la API.<\/li>\n<\/ul>\n<p>Luego, los mensajes finales (primer esquema) se establecen como atributos personalizados a trav\u00e9s de la API MDM para comunicarse con el atacante.<\/p>\n<figure id=\"attachment_163983\" aria-describedby=\"caption-attachment-163983\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163983 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-20124-163982-1.png\" alt=\"Captura de pantalla de un script PowerShell utilizado para gestionar solicitudes HTTP a una API web, con variables, un bucle y declaraciones condicionales. Los nombres espec\u00edficos son visibles en el c\u00f3digo.\" width=\"1000\" height=\"624\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-20124-163982-1.png 1246w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-20124-163982-1-705x440.png 705w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-20124-163982-1-1121x700.png 1121w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-20124-163982-1-768x480.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163983\" class=\"wp-caption-text\">Figura 1. Funci\u00f3n central del canal encubierto de la variante PowerShell de Airstalk.<\/figcaption><\/figure>\n<p>Para leer un mensaje de respuesta del atacante, el malware realiza el proceso inverso. Deserializa el mensaje y verifica si procede del atacante para evitar leer el mensaje enviado por \u00e9l mismo, como se muestra en la Figura\u00a02.<\/p>\n<figure id=\"attachment_163994\" aria-describedby=\"caption-attachment-163994\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163994 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-23219-163982-2.png\" alt=\"Captura de pantalla de un script de programaci\u00f3n con varias funciones y declaraciones condicionales escritas en un lenguaje de codificaci\u00f3n, resaltadas con flechas que se\u00f1alan l\u00edneas y elementos espec\u00edficos.\" width=\"1000\" height=\"616\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-23219-163982-2.png 1518w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-23219-163982-2-714x440.png 714w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-23219-163982-2-1136x700.png 1136w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-23219-163982-2-768x473.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163994\" class=\"wp-caption-text\">Figura\u00a02. Respuesta de C2 de la funci\u00f3n central del canal encubierto de la variante PowerShell de Airstalk.<\/figcaption><\/figure>\n<h4><a id=\"post-163982-_heading=h.fzynj6qn91vm\"><\/a>Protocolo de C2<\/h4>\n<p>El protocolo de C2 para la variante PowerShell de Airstalk usa distintos tipos de mensajes para la sincronizaci\u00f3n y la ejecuci\u00f3n de tareas espec\u00edficas, en funci\u00f3n de la fase de la comunicaci\u00f3n.<\/p>\n<p>En la Tabla\u00a01, se muestran los diferentes valores que puede tener el campo del <span style=\"font-family: 'courier new', courier, monospace;\">m\u00e9todo<\/span>.<\/p>\n<table style=\"border-collapse: collapse; width: 92.8661%;\">\n<thead>\n<tr>\n<th style=\"width: 45.5975%;\"><strong>MESSAGE_TYPE<\/strong><\/th>\n<th style=\"width: 301.572%;\"><strong>Prop\u00f3sito<\/strong><\/th>\n<\/tr>\n<tr>\n<th style=\"width: 45.5975%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">CON\u00c9CTESE<\/span><\/th>\n<td style=\"width: 301.572%;\"><span style=\"font-weight: 400;\">Solicitud de conexi\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<th style=\"width: 45.5975%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">CONECTADO<\/span><\/th>\n<td style=\"width: 301.572%;\"><span style=\"font-weight: 400;\">Conexi\u00f3n aceptada<\/span><\/td>\n<\/tr>\n<tr>\n<th style=\"width: 45.5975%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ACCIONES<\/span><\/th>\n<td style=\"width: 301.572%;\"><span style=\"font-weight: 400;\">Sincronizaci\u00f3n de tareas<\/span><\/td>\n<\/tr>\n<tr>\n<th style=\"width: 45.5975%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RESULTADO<\/span><\/th>\n<td style=\"width: 301.572%;\"><span style=\"font-weight: 400;\">Resultados de las tareas<\/span><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<p><em><span style=\"font-size: 10pt;\">Tabla\u00a01. Valores del campo del <span style=\"font-family: 'courier new', courier, monospace;\">m\u00e9todo<\/span> en las comunicaciones de C2 de la variante PowerShell de Airstalk.<\/span><\/em><\/p>\n<p>Cuando se ejecuta, la variante PowerShell de Airstalk inicia la comunicaci\u00f3n con el atacante. Para ello, env\u00eda el mensaje <span style=\"font-family: 'courier new', courier, monospace;\">CONNECT<\/span> (CON\u00c9CTESE) y bloquea la ejecuci\u00f3n a trav\u00e9s de la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">Get-Response<\/span>, como se muestra en la Figura\u00a03, a la espera de un mensaje del actor de amenazas.<\/p>\n<figure id=\"attachment_164005\" aria-describedby=\"caption-attachment-164005\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164005 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-26172-163982-3.png\" alt=\"Fragmento de c\u00f3digo que muestra un script para inicializar una conexi\u00f3n, convertir una petici\u00f3n a Base64 y gestionar la respuesta del servidor en funci\u00f3n del estado de la conexi\u00f3n, resaltado en varios colores para marcar la sintaxis.\" width=\"1000\" height=\"339\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-26172-163982-3.png 1219w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-26172-163982-3-786x266.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-26172-163982-3-768x260.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164005\" class=\"wp-caption-text\">Figura 3. Inicializaci\u00f3n de la conexi\u00f3n por la variante PowerShell de Airstalk.<\/figcaption><\/figure>\n<p>El c\u00f3digo parece esperar recibir el mensaje <span style=\"font-family: 'courier new', courier, monospace;\">CONNECTED<\/span> (CONECTADO). Sin embargo, el resultado es el mismo sea cual sea el tipo de mensaje, siempre que no provenga del malware (<span style=\"font-family: 'courier new', courier, monospace;\">cliente<\/span>).<\/p>\n<p>Despu\u00e9s de establecer una conexi\u00f3n con el atacante, el malware realiza lo siguiente:<\/p>\n<ul>\n<li>Solicita la ejecuci\u00f3n de tareas, enviando un mensaje de tipo <span style=\"font-family: 'courier new', courier, monospace;\">ACTIONS<\/span> (ACCIONES).<\/li>\n<li>Bloquea la ejecuci\u00f3n, esperando una respuesta del atacante con un mensaje de tipo ACCIONES.<\/li>\n<li>Devuelve el ID de la acci\u00f3n a realizar, como se muestra en la Figura\u00a04 a continuaci\u00f3n.<\/li>\n<\/ul>\n<figure id=\"attachment_164016\" aria-describedby=\"caption-attachment-164016\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164016 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-28576-163982-4.png\" alt=\"Imagen de un fragmento de c\u00f3digo inform\u00e1tico en un lenguaje de programaci\u00f3n, formado por funciones y declaraciones condicionales, con anotaciones indicadas por flechas.\" width=\"1000\" height=\"295\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-28576-163982-4.png 1218w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-28576-163982-4-786x232.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-28576-163982-4-768x226.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164016\" class=\"wp-caption-text\">Figura\u00a04. Tareas de C2 comprobadas por la variante PowerShell de Airstalk.<\/figcaption><\/figure>\n<p>Como se indica en la Figura\u00a04, esta vez el flujo de ejecuci\u00f3n filtra correctamente el tipo de mensaje.<\/p>\n<p>En la Figura\u00a05, se ilustra el flujo de ejecuci\u00f3n de la variante PowerShell de Airstalk.<\/p>\n<figure id=\"attachment_164027\" aria-describedby=\"caption-attachment-164027\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164027 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-32285-163982-5.png\" alt=\"Diagrama que muestra la interacci\u00f3n entre el malware (dispositivo infectado), MDM de AirWatch y el malware (actor de amenazas) con descripciones de los pasos del proceso, como el bloqueo de la ejecuci\u00f3n, el reconocimiento de acciones y la ejecuci\u00f3n de tareas.\" width=\"1000\" height=\"885\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-32285-163982-5.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-32285-163982-5-497x440.png 497w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-32285-163982-5-791x700.png 791w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-32285-163982-5-768x680.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-32285-163982-5-1536x1360.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164027\" class=\"wp-caption-text\">Figura 5. Flujo de ejecuci\u00f3n de C2 de la variante PowerShell de Airstalk.<\/figcaption><\/figure>\n<h4><a id=\"post-163982-_heading=h.7aq2eh4j3vn7\"><\/a>Capacidades de puerta trasera<\/h4>\n<p>Una vez establecido el canal de comunicaci\u00f3n de C2, la variante PowerShell de Airstalk puede recibir diferentes tareas a trav\u00e9s del campo de <span style=\"font-family: 'courier new', courier, monospace;\">acci\u00f3n<\/span>, como se muestra en la Tabla 2 a continuaci\u00f3n.<\/p>\n<table style=\"width: 99.612%; height: 196px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"width: 14.8515%; text-align: center; height: 24px;\"><strong>ACTION_ID<\/strong><\/td>\n<td style=\"width: 148.798%; text-align: center; height: 24px;\"><strong>Tarea<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 14.8515%; height: 24px; text-align: center;\"><span style=\"font-family: 'courier new', courier, monospace;\">0<\/span><\/td>\n<td style=\"width: 148.798%; height: 24px;\">Tomar una captura de pantalla<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 14.8515%; height: 24px; text-align: center;\"><span style=\"font-family: 'courier new', courier, monospace;\">1<\/span><\/td>\n<td style=\"width: 148.798%; height: 24px;\">Obtener todas las cookies de Chrome<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 14.8515%; height: 24px; text-align: center;\"><span style=\"font-family: 'courier new', courier, monospace;\">2<\/span><\/td>\n<td style=\"width: 148.798%; height: 24px;\">Listar todos los archivos del directorio del usuario<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 14.8515%; height: 24px; text-align: center;\"><span style=\"font-family: 'courier new', courier, monospace;\">4<\/span><\/td>\n<td style=\"width: 148.798%; height: 24px;\">Listar todos los perfiles Chrome dentro del directorio del usuario<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 14.8515%; height: 24px; text-align: center;\"><span style=\"font-family: 'courier new', courier, monospace;\">5<\/span><\/td>\n<td style=\"width: 148.798%; height: 24px;\">Obtener los marcadores de un determinado perfil de Chrome<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 14.8515%; height: 24px; text-align: center;\"><span style=\"font-family: 'courier new', courier, monospace;\">6<\/span><\/td>\n<td style=\"width: 148.798%; height: 24px;\">Obtener el historial de navegaci\u00f3n de un determinado perfil de Chrome<\/td>\n<\/tr>\n<tr style=\"height: 28px;\">\n<td style=\"width: 14.8515%; height: 28px; text-align: center;\"><span style=\"font-family: 'courier new', courier, monospace;\">7<\/span><\/td>\n<td style=\"width: 148.798%; height: 28px;\">Desinstalar la puerta trasera<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla\u00a02. Identificadores y tareas para el campo de <span style=\"font-family: 'courier new', courier, monospace;\">acci\u00f3n<\/span>.<\/em><\/span><\/p>\n<p>Siguiendo los valores de <span style=\"font-family: 'courier new', courier, monospace;\">ACTION_ID<\/span> en la Tabla\u00a02, notamos que se omiti\u00f3 el valor\u00a03. Podr\u00eda ser una decisi\u00f3n del desarrollador, un error o una forma de ocultar capacidades adicionales de la puerta trasera al eliminar la implementaci\u00f3n de tareas. Esta eliminaci\u00f3n es una forma sencilla pero eficaz de utilizarlo como puerta trasera modular.<\/p>\n<p>Despu\u00e9s de ejecutar una tarea, el malware env\u00eda el resultado de esta con la funci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">UploadResult<\/span>, especificando el <span style=\"font-family: 'courier new', courier, monospace;\">ACTION_ID<\/span> de la tarea ejecutada y el valor devuelto, como se indica en la Figura 6.<\/p>\n<figure id=\"attachment_164038\" aria-describedby=\"caption-attachment-164038\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164038 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-37008-163982-6.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo en un lenguaje de programaci\u00f3n con anotaciones mediante flechas que apuntan a l\u00edneas espec\u00edficas, resaltando partes del c\u00f3digo relacionadas con el manejo de datos y las comprobaciones de respuesta del servidor.\" width=\"1000\" height=\"486\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-37008-163982-6.png 1213w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-37008-163982-6-786x382.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-37008-163982-6-768x374.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164038\" class=\"wp-caption-text\">Figura\u00a06. Env\u00eda el resultado de la tarea al canal de C2.<\/figcaption><\/figure>\n<p>Algunas tareas requieren el env\u00edo de una gran cantidad de datos o archivos tras la ejecuci\u00f3n de Airstalk. Para ello, el malware utiliza la funci\u00f3n de blobs de la API MDM de AirWatch para cargar el contenido como un nuevo blob. En la Figura\u00a07, se muestra c\u00f3mo se implementa esto en el script de la variante PowerShell de Airstalk.<\/p>\n<figure id=\"attachment_164049\" aria-describedby=\"caption-attachment-164049\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164049 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-44908-163982-7.png\" alt=\"Captura de pantalla de un script de PowerShell con anotaciones indicadas por flechas que se\u00f1alan elementos clave del c\u00f3digo.\" width=\"1000\" height=\"405\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-44908-163982-7.png 1364w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-44908-163982-7-786x319.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-44908-163982-7-768x311.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164049\" class=\"wp-caption-text\">Figura\u00a07. Funci\u00f3n de carga de archivos en la variante PowerShell de Airstalk.<\/figcaption><\/figure>\n<p>Un ejemplo de este comportamiento es tomar una captura de pantalla del host infectado, como muestra la Figura\u00a08.<\/p>\n<figure id=\"attachment_164060\" aria-describedby=\"caption-attachment-164060\" style=\"width: 500px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164060 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-57771-163982-8.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo con comandos PowerShell. El c\u00f3digo incluye l\u00f3gica condicional para tomar una captura de pantalla y cargarla, con anotaciones indicadas por flechas.\" width=\"500\" height=\"184\" \/><figcaption id=\"caption-attachment-164060\" class=\"wp-caption-text\">Figura\u00a08. Funci\u00f3n de captura de pantalla que aprovecha la funcionalidad UploadResult.<\/figcaption><\/figure>\n<p>La funci\u00f3n para volcar cookies de Chrome habilita la depuraci\u00f3n remota en el navegador y lo reinicia con par\u00e1metros para cargar el perfil de Chrome objetivo. Estos par\u00e1metros tambi\u00e9n env\u00edan el comando para volcar todas las cookies y guardarlas en un archivo que posteriormente se exfiltra a trav\u00e9s del canal encubierto que se muestra a continuaci\u00f3n en la Figura\u00a09.<\/p>\n<figure id=\"attachment_164071\" aria-describedby=\"caption-attachment-164071\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164071 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-67252-163982-9.png\" alt=\"Captura de pantalla de un ordenador que muestra c\u00f3digo de software en un IDE, con sintaxis resaltada y flechas que apuntan a secciones clave del c\u00f3digo.\" width=\"1000\" height=\"820\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-67252-163982-9.png 1345w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-67252-163982-9-537x440.png 537w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-67252-163982-9-854x700.png 854w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-67252-163982-9-768x630.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164071\" class=\"wp-caption-text\">Figura 9. Exfiltraci\u00f3n de cookies de Chrome.<\/figcaption><\/figure>\n<p>Como ya inform\u00f3 <a href=\"https:\/\/redcanary.com\/blog\/threat-intelligence\/google-chrome-app-bound-encryption\/\" target=\"_blank\" rel=\"noopener\">Red Canary<\/a>, el robo de cookies a trav\u00e9s de la depuraci\u00f3n remota de Chrome no es una funcionalidad novedosa y ya est\u00e1 integrada en varios ladrones de informaci\u00f3n, como Lumma y StealC. Sin embargo, es poco probable que estos ladrones de informaci\u00f3n tengan \u00e9xito en un entorno bien protegido. Integrar la funcionalidad en una herramienta de gesti\u00f3n de sistemas de confianza permite ejecutarla sin levantar sospechas.<\/p>\n<h3><a id=\"post-163982-_heading=h.98ecmrdaekf2\"><\/a>Variante .NET de Airstalk<\/h3>\n<p>Durante la investigaci\u00f3n de este malware, identificamos un conjunto de muestras que representaban una variante .NET de Airstalk. En comparaci\u00f3n con la variante PowerShell, la variante .NET presenta ligeras diferencias en su protocolo de canal de C2 encubierto y tiene m\u00e1s capacidades. La variante .NET tambi\u00e9n parece estar en una fase de desarrollo m\u00e1s avanzada que la variante PowerShell.<\/p>\n<p>Mientras que la muestra que encontramos de PowerShell solo se dirige a Google Chrome, la variante .NET de Airstalk tambi\u00e9n se dirige a otros dos navegadores web:<\/p>\n<ul>\n<li>Microsoft Edge<\/li>\n<li>Island Browser<\/li>\n<\/ul>\n<p>La variante .NET intenta imitar una aplicaci\u00f3n heredada utilizando la firma de c\u00f3digo y atributos de metadatos espec\u00edficos. En la Figura\u00a010, se muestra un ejemplo de ello.<\/p>\n<figure id=\"attachment_164082\" aria-describedby=\"caption-attachment-164082\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164082 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-80838-163982-10.png\" alt=\"Captura de pantalla que muestra las propiedades de un archivo llamado AirWatchHelper.exe, un producto de VMware. Los campos m\u00e1s destacados son Nombre de la empresa: VMware, Nombre del producto: Cliente, y varios detalles de la versi\u00f3n.\" width=\"600\" height=\"227\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-80838-163982-10.png 1422w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-80838-163982-10-786x297.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-80838-163982-10-768x291.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-164082\" class=\"wp-caption-text\">Figura\u00a010. Los metadatos Exif de la variante .NET de Airstalk se establecen de forma nativa a trav\u00e9s de ensamblados .NET.<\/figcaption><\/figure>\n<h4><a id=\"post-163982-_heading=h.8gewamgf4p8s\"><\/a>Implementaci\u00f3n del canal encubierto .NET<\/h4>\n<p>En comparaci\u00f3n con la variante PowerShell, la variante .NET de Airstalk incluye un sufijo adicional al campo UUID dentro del mensaje JSON (primer esquema) en la comunicaci\u00f3n de C2 encubierta, tal como se observa en la Figura\u00a011.<\/p>\n<figure id=\"attachment_164093\" aria-describedby=\"caption-attachment-164093\" style=\"width: 749px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164093 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-86829-163982-11.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo de programaci\u00f3n que muestra una funci\u00f3n denominada SetAttribute con varios casos en una declaraci\u00f3n switch y la configuraci\u00f3n de atributos en funci\u00f3n del tipo de entrega.\" width=\"749\" height=\"585\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-86829-163982-11.png 749w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-86829-163982-11-563x440.png 563w\" sizes=\"(max-width: 749px) 100vw, 749px\" \/><figcaption id=\"caption-attachment-164093\" class=\"wp-caption-text\">Figura\u00a011. Funci\u00f3n de c\u00f3digo del canal encubierto en la variante .NET de Airstalk.<\/figcaption><\/figure>\n<p>La variante .NET de Airstalk tiene tres tipos de entrega diferentes para las comunicaciones de C2, como se indica en la Tabla\u00a03.<\/p>\n<table style=\"width: 96.8167%;\">\n<tbody>\n<tr>\n<td style=\"width: 15.5814%;\"><strong>Tipo de entrega<\/strong><\/td>\n<td style=\"width: 12.9095%;\"><strong>Sufijo<\/strong><\/td>\n<td style=\"width: 103.137%;\"><strong>Descripci\u00f3n<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 15.5814%;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">DEPURACI\u00d3N<\/span><\/span><\/td>\n<td style=\"width: 12.9095%;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">-kd<\/span><\/span><\/td>\n<td style=\"width: 103.137%; text-align: left;\"><span style=\"font-weight: 400;\">Se utiliza para enviar datos de depuraci\u00f3n<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 15.5814%;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">RESULTADO<\/span><\/span><\/td>\n<td style=\"width: 12.9095%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">-kr<\/span><\/td>\n<td style=\"width: 103.137%; text-align: left;\"><span style=\"font-weight: 400;\">Se utiliza para comprobar las tareas y enviar los resultados de estas<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 15.5814%;\"><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-weight: 400;\">BASE<\/span><\/span><\/td>\n<td style=\"width: 12.9095%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">-kb<\/span><\/td>\n<td style=\"width: 103.137%; text-align: left;\"><span style=\"font-weight: 400;\">Se utiliza para el establecimiento de la conexi\u00f3n y la emisi\u00f3n de se\u00f1ales peri\u00f3dicas<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla\u00a03. Diferentes tipos de entrega en las comunicaciones de C2 para la variante .NET de Airstalk.<\/em><\/span><\/p>\n<h4><a id=\"post-163982-_heading=h.neei0pf67kjr\"><\/a>Protocolo de C2<\/h4>\n<p>En comparaci\u00f3n con la variante PowerShell, la variante .NET de Airstalk presenta peque\u00f1as diferencias en los tipos de mensajes para el protocolo de C2. En la Tabla\u00a04, se enumeran los tipos (m\u00e9todos) adicionales utilizados por la variante .NET.<\/p>\n<table style=\"width: 99.225%; border-collapse: collapse;\">\n<tbody>\n<tr>\n<td style=\"width: 20.4545%;\"><strong>MESSAGE_TYPE<\/strong><\/td>\n<td style=\"width: 38.0682%;\"><strong>Prop\u00f3sito<\/strong><\/td>\n<td style=\"width: 24.4318%;\"><strong>Variante PowerShell<\/strong><\/td>\n<td style=\"width: 55.0069%;\"><strong>Variante .NET<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.4545%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">CON\u00c9CTESE<\/span><\/td>\n<td style=\"width: 38.0682%;\"><span style=\"font-weight: 400;\">Solicitud de conexi\u00f3n<\/span><\/td>\n<td style=\"width: 24.4318%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 55.0069%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.4545%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">CONECTADO<\/span><\/td>\n<td style=\"width: 38.0682%;\"><span style=\"font-weight: 400;\">Conexi\u00f3n aceptada<\/span><\/td>\n<td style=\"width: 24.4318%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 55.0069%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.4545%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ACCIONES<\/span><\/td>\n<td style=\"width: 38.0682%;\"><span style=\"font-weight: 400;\">Flujo de tareas<\/span><\/td>\n<td style=\"width: 24.4318%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 55.0069%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.4545%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RESULTADO<\/span><\/td>\n<td style=\"width: 38.0682%;\"><span style=\"font-weight: 400;\">Resultados de las tareas<\/span><\/td>\n<td style=\"width: 24.4318%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 55.0069%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.4545%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">DISPARIDAD<\/span><\/td>\n<td style=\"width: 38.0682%;\">Error de no coincidencia de la versi\u00f3n<\/td>\n<td style=\"width: 24.4318%;\">&nbsp;<\/p>\n<p><strong>No<\/strong><\/td>\n<td style=\"width: 55.0069%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.4545%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">DEPURACI\u00d3N<\/span><\/td>\n<td style=\"width: 38.0682%;\"><span style=\"font-weight: 400;\">Mensajes de depuraci\u00f3n<\/span><\/td>\n<td style=\"width: 24.4318%;\"><strong>No<\/strong><\/td>\n<td style=\"width: 55.0069%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.4545%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">PING<\/span><\/td>\n<td style=\"width: 38.0682%;\"><span style=\"font-weight: 400;\">Emisi\u00f3n de se\u00f1ales peri\u00f3dicas<\/span><\/td>\n<td style=\"width: 24.4318%;\"><strong>No<\/strong><\/td>\n<td style=\"width: 55.0069%;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\"><em>Tabla\u00a04. M\u00e9todos de comunicaci\u00f3n del protocolo de C2 de la variante .NET de Airstalk.<\/em><\/span><\/p>\n<p>En comparaci\u00f3n con la variante PowerShell, la variante .NET de Airstalk tiene un flujo de ejecuci\u00f3n diferente. La variante .NET utiliza tres hilos de ejecuci\u00f3n diferentes, uno para cada prop\u00f3sito espec\u00edfico:<\/p>\n<ul>\n<li>Gesti\u00f3n de las tareas de C2<\/li>\n<li>Exfiltraci\u00f3n del registro de depuraci\u00f3n<\/li>\n<li>Emisi\u00f3n de se\u00f1ales peri\u00f3dicas al C2<\/li>\n<\/ul>\n<figure id=\"attachment_164104\" aria-describedby=\"caption-attachment-164104\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164104 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-89846-163982-12.png\" alt=\"Imagen de un c\u00f3digo de programaci\u00f3n inform\u00e1tica mostrado en una pantalla, con varios ejemplos de conceptos de programaci\u00f3n orientada a objetos. Los elementos destacados incluyen la instanciaci\u00f3n de objetos, el manejo de excepciones con un bloque try-catch y el uso de hilos del sistema. El c\u00f3digo contiene anotaciones y flechas que destacan partes espec\u00edficas del script. Parte de la informaci\u00f3n est\u00e1 suprimida. \" width=\"1000\" height=\"778\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-89846-163982-12.png 802w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-89846-163982-12-566x440.png 566w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-89846-163982-12-768x598.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164104\" class=\"wp-caption-text\">Figura 12. C\u00f3digo que ilustra el flujo de ejecuci\u00f3n principal para las comunicaciones de C2 en la variante .NET de Airstalk.<\/figcaption><\/figure>\n<p>Como se indica en la Figura\u00a012, estas variantes tienen un comportamiento de emisi\u00f3n de se\u00f1ales peri\u00f3dicas, un hilo de depuraci\u00f3n y un archivo de registro que env\u00eda al atacante. Esto se env\u00eda a trav\u00e9s del canal encubierto cada 10\u00a0minutos, seg\u00fan la funci\u00f3n de depuraci\u00f3n que muestra la Figura\u00a013.<\/p>\n<figure id=\"attachment_164115\" aria-describedby=\"caption-attachment-164115\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164115 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92446-163982-13.png\" alt=\"Captura de pantalla de un c\u00f3digo inform\u00e1tico que presenta un lenguaje de programaci\u00f3n con varias funciones y manejo de excepciones relacionadas con operaciones de archivos y depuraci\u00f3n.\" width=\"1000\" height=\"513\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92446-163982-13.png 1051w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92446-163982-13-786x403.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-92446-163982-13-768x394.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164115\" class=\"wp-caption-text\">Figura 13. La funci\u00f3n de depuraci\u00f3n carga peri\u00f3dicamente el registro.<\/figcaption><\/figure>\n<p>En la Figura\u00a014, se muestra la lista completa de tareas que admite la variante .NET.<\/p>\n<figure id=\"attachment_163232\" aria-describedby=\"caption-attachment-163232\" style=\"width: 400px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163232 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256568-163077-14.png\" alt=\"Captura de pantalla de c\u00f3digo que muestra una enumeraci\u00f3n titulada 'TaskType' con varios nombres de tareas como UpdateChrome, RunUtility, EnterProfile, OpenUrl, y otras listadas entre llaves.\" width=\"400\" height=\"495\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256568-163077-14.png 638w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256568-163077-14-355x440.png 355w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256568-163077-14-565x700.png 565w\" sizes=\"(max-width: 400px) 100vw, 400px\" \/><figcaption id=\"caption-attachment-163232\" class=\"wp-caption-text\">Figura\u00a014. Lista de tareas admitidas para las comunicaciones de C2 en la variante .NET de Airstalk.<\/figcaption><\/figure>\n<p>Aunque los nombres de las tareas de la variante .NET se definen de forma similar a las tareas de la variante PowerShell, no se implementan todas las tareas. Adem\u00e1s, los ID de tarea en la variante .NET difieren de la variante PowerShell. Esto demuestra una evoluci\u00f3n de la variante .NET de Airstalk con respecto a lo que vemos en la variante PowerShell. En la variante .NET, algunas tareas parecen similares a aquellas de la variante PowerShell, pero un examen m\u00e1s detallado revela que son m\u00e1s complejas, ya que est\u00e1n compuestas de tareas m\u00e1s peque\u00f1as.<\/p>\n<p>En la Tabla\u00a05, se describen las capacidades e implementaciones de las funciones mostradas anteriormente en la Figura\u00a014.<\/p>\n<table style=\"border-collapse: collapse; width: 98.7215%; height: 317px;\">\n<thead>\n<tr style=\"height: 24px;\">\n<th style=\"width: 29.8893%; height: 24px;\">Nombr<strong>e<\/strong><\/th>\n<th style=\"width: 2.82903%; height: 24px;\"><strong>ID<\/strong><\/th>\n<th style=\"width: 15.3752%; height: 24px;\"><strong>Implementado<\/strong><\/th>\n<th style=\"width: 95.449%; height: 24px;\"><strong>Descripci\u00f3n<\/strong><\/th>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 29.8893%; height: 18px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Screenshot<\/span><\/td>\n<td style=\"width: 2.82903%; height: 18px;\"><span style=\"font-weight: 400;\">0<\/span><\/td>\n<td style=\"width: 15.3752%; height: 18px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<th style=\"width: 95.449%; height: 18px; text-align: left;\"><span style=\"font-weight: 400;\">Realiza una captura de pantalla<\/span><\/th>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">UpdateChrome<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">1<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Exfiltra el perfil de Chrome especificado<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">FileMap<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">2<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Lista el contenido del directorio especificado<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">RunUtility<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">3<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><b>No<\/b><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">N\/D<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EnterpriseChromeProfiles<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">4<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Recupera los perfiles de Chrome disponibles<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">UploadFile<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">5<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Exfiltra credenciales y artefactos espec\u00edficos de Chrome<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">OpenURL<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">6<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Abre una nueva URL en Chrome<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">Desinstalar<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">7<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Finaliza la ejecuci\u00f3n<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EnterpriseChromeBookmarks<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">8<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Obtiene los marcadores de Chrome del usuario especificado<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">EnterpriseIslandProfiles<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">9<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Recupera los perfiles de Island disponibles<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">UpdateIsland<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">10<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Exfiltra el perfil de Island especificado<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 29.8893%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ExfilAlreadyOpenChrome<\/span><\/td>\n<td style=\"width: 2.82903%; height: 25px;\"><span style=\"font-weight: 400;\">11<\/span><\/td>\n<td style=\"width: 15.3752%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<td style=\"width: 95.449%; height: 25px;\"><span style=\"font-weight: 400;\">Vuelca todas las cookies del perfil actual de Chrome<\/span><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 5. Tareas para las funciones de C2 en la variante .NET de Airstalk.<\/span><\/p>\n<h4><a id=\"post-163982-_heading=h.2ucco3v1ai3k\"><\/a>Control de versiones<\/h4>\n<p>La variante PowerShell de Airstalk no tiene una variable de versi\u00f3n, pero la variante .NET tiene una variable que especifica la versi\u00f3n del malware. Encontramos muestras de la variante .NET de Airstalk utilizando las versiones\u00a013 y 14.<\/p>\n<h3><a id=\"post-163982-_heading=h.wqtxum102a3p\"><\/a>Persistencia<\/h3>\n<p>La variante PowerShell utiliza una tarea programada para la persistencia que elimina al ejecutar la tarea Desinstalar mostrada en la Figura\u00a015.<\/p>\n<figure id=\"attachment_163243\" aria-describedby=\"caption-attachment-163243\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163243 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-259253-163077-15.png\" alt=\"Captura de pantalla de un script inform\u00e1tico que utiliza comandos PowerShell, incluidas las funciones Remove-Item, Unregister-ScheduledTask y UploadResult dentro de un bloque condicional.\" width=\"600\" height=\"113\" \/><figcaption id=\"caption-attachment-163243\" class=\"wp-caption-text\">Figura\u00a015. C\u00f3digo de desinstalaci\u00f3n de la variante PowerShell de Airstalk.<\/figcaption><\/figure>\n<p>Sin embargo, la variante .NET de Airstalk no dispone de un mecanismo de persistencia. La variante .NET finaliza la ejecuci\u00f3n del proceso y establece un indicador en el endpoint de la API de atributos personalizados, como se muestra en la Figura\u00a016.<\/p>\n<figure id=\"attachment_163254\" aria-describedby=\"caption-attachment-163254\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163254 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-261754-163077-16.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo en un editor de texto que indica un error relacionado con la variable no asignada 'client'. El c\u00f3digo incluye elementos t\u00edpicos de la programaci\u00f3n en C#, como el uso de la clase HttpClient y m\u00e9todos as\u00edncronos.\" width=\"1000\" height=\"182\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-261754-163077-16.png 1541w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-261754-163077-16-786x143.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-261754-163077-16-768x140.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-261754-163077-16-1536x280.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-163254\" class=\"wp-caption-text\">Figura\u00a016. C\u00f3digo de desinstalaci\u00f3n de la variante .NET de Airstalk.<\/figcaption><\/figure>\n<h3><a id=\"post-163982-_heading=h.3qqd8h3cm4qf\"><\/a>Binarios firmados y marcas de tiempo<\/h3>\n<p>Como intento de evasi\u00f3n defensiva, los binarios para la variante .NET de Airstalk est\u00e1n firmados con un certificado (probablemente robado) firmado por una CA v\u00e1lida:<\/p>\n<ul>\n<li>Organizaci\u00f3n: Aoteng Industrial Automation (Langfang) Co., Ltd.<\/li>\n<li>Localidad: Langfang<\/li>\n<li>state: Hebei<\/li>\n<li>Pa\u00eds: CN<\/li>\n<li>Serial Number: <span style=\"font-family: 'courier new', courier, monospace;\">29afb8d913db84fdb362f4fd927b8553<\/span><\/li>\n<li>V\u00e1lido desde: 28 jun 10:04:49 2024 GMT<\/li>\n<li>V\u00e1lido hasta: 28 Jun 03:29:37 2025 GMT<\/li>\n<\/ul>\n<p>Sin embargo, este certificado se revoc\u00f3 unos 10\u00a0minutos despu\u00e9s de la fecha de inicio de la validez:<\/p>\n<ul>\n<li>Fecha de revocaci\u00f3n: 28 Jun 10:14:00 2024 GMT<\/li>\n<\/ul>\n<p>Encontramos dos binarios PE utilizados para las pruebas que estaban firmados con el mismo certificado y conservaban las marcas de tiempo originales, como se muestra la Tabla\u00a06.<\/p>\n<table style=\"width: 100.732%;\">\n<thead>\n<tr>\n<th style=\"width: 54.8458%;\"><strong>SHA256<\/strong><\/th>\n<th style=\"width: 15.2363%;\"><strong>Compilado<\/strong><\/th>\n<th style=\"width: 15.0328%;\"><strong>Firmado<\/strong><\/th>\n<th style=\"width: 31.5684%;\"><strong>Presentado por primera vez<\/strong><\/th>\n<\/tr>\n<tr>\n<td style=\"width: 54.8458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">0c444624af1c9cce6532a6f88786840ebce6ed3df9ed570ac75e07e30b0c0bde<\/span><\/td>\n<td style=\"width: 15.2363%;\"><span style=\"font-weight: 400;\">2024-06-28 17:55:37 UTC<\/span><\/td>\n<td style=\"width: 15.0328%;\"><span style=\"font-weight: 400;\">2024-07-03 18:01:00 UTC<\/span><\/td>\n<td style=\"width: 31.5684%;\"><span style=\"font-weight: 400;\">2024-07-03 18:03:26 UTC<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 54.8458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">1f8f494cc75344841e77d843ef53f8c5f1beaa2f464bcbe6f0aacf2a0757c8b5<\/span><\/td>\n<td style=\"width: 15.2363%;\"><span style=\"font-weight: 400;\">2024-07-03 20:37:08 UTC<\/span><\/td>\n<td style=\"width: 15.0328%;\"><span style=\"font-weight: 400;\">2024-07-03 20:39:00 UTC<\/span><\/td>\n<td style=\"width: 31.5684%;\"><span style=\"font-weight: 400;\">2024-07-03 20:43:31 UTC<\/span><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a06. Informaci\u00f3n sobre la prueba de binarios PE para la variante .NET de Airstalk.<\/span><\/p>\n<p>Aunque el actor de amenazas detr\u00e1s de CL-STA-1009 modific\u00f3 las marcas de tiempo de los binarios posteriores de la variante .NET de Airstalk, podemos establecer una l\u00ednea de tiempo de desarrollo usando las marcas de tiempo firmadas, como se muestra a continuaci\u00f3n en la Tabla\u00a07.<\/p>\n<table style=\"border-collapse: collapse; width: 99.4515%; height: 582px;\">\n<thead>\n<tr>\n<th style=\"width: 22.8773%;\"><strong>SHA256<\/strong><\/th>\n<th style=\"width: 22.7629%;\"><strong>Firmado<\/strong><\/th>\n<th style=\"width: 15.1209%;\"><strong>Compilado<\/strong><\/th>\n<th style=\"width: 16.8105%;\"><strong>Depurar<\/strong><\/th>\n<th style=\"width: 12.7692%;\"><strong>Presentado por primera vez<\/strong><\/th>\n<th style=\"width: 16.2045%;\"><strong>Descripci\u00f3n<\/strong><\/th>\n<\/tr>\n<tr>\n<td style=\"width: 22.8773%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">dfdc27d81a6a21384d6dba7dcdc4c7f9348cf1bdc6df7521b886108b71b41533<\/span><\/td>\n<td style=\"width: 22.7629%;\"><span style=\"font-weight: 400;\">2024-07-17 20:00:00 UTC<\/span><\/td>\n<td style=\"width: 15.1209%;\"><span style=\"font-weight: 400;\">2055-04-06 21:31:42 UTC<\/span><\/td>\n<td style=\"width: 16.8105%;\"><span style=\"font-weight: 400;\">2039-09-07 07 17:14:59 UTC<\/span><\/td>\n<td style=\"width: 12.7692%;\"><span style=\"font-weight: 400;\">2024-12-17 16:58:53 UTC<\/span><\/td>\n<td style=\"width: 16.2045%;\"><span style=\"font-weight: 400;\">Variante .NET<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 22.8773%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b6d37334034cd699a53df3e0bcac5bbdf32d52b4fa4944e44488bd2024ad719b<\/span><\/td>\n<td style=\"width: 22.7629%;\"><span style=\"font-weight: 400;\">2024-11-11 00:12:00 UTC<\/span><\/td>\n<td style=\"width: 15.1209%;\"><span style=\"font-weight: 400;\">2066-03-16 05:36:50 UTC<\/span><\/td>\n<td style=\"width: 16.8105%;\"><span style=\"font-weight: 400;\">2084-08-11 21:19:12 UTC<\/span><\/td>\n<td style=\"width: 12.7692%;\"><span style=\"font-weight: 400;\">2024-12-10 00:03:03 UTC<\/span><\/td>\n<td style=\"width: 16.2045%;\"><span style=\"font-weight: 400;\">Variante .NET<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 22.8773%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">4e4cbaed015dfbda3c368ca4442cd77a0a2d5e65999cd6886798495f2c29fcd5<\/span><\/td>\n<td style=\"width: 22.7629%;\"><span style=\"font-weight: 400;\">2024-11-14 00:21:00 UTC<\/span><\/td>\n<td style=\"width: 15.1209%;\"><span style=\"font-weight: 400;\">2097-03-02 00:38:35 UTC<\/span><\/td>\n<td style=\"width: 16.8105%;\"><span style=\"font-weight: 400;\">2089-11-27 15:10:05 2089 UTC<\/span><\/td>\n<td style=\"width: 12.7692%;\"><span style=\"font-weight: 400;\">2024-12-09 13:39:25 UTC<\/span><\/td>\n<td style=\"width: 16.2045%;\"><span style=\"font-weight: 400;\">Variante .NET<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 22.8773%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">3a48ea6857f1b6ae28bd1f4a07990a080d854269b1c1563c9b2e330686eb23b5<\/span><\/td>\n<td style=\"width: 22.7629%;\"><span style=\"font-weight: 400;\">N\/D<\/span><\/td>\n<td style=\"width: 15.1209%;\"><span style=\"font-weight: 400;\">N\/D<\/span><\/td>\n<td style=\"width: 16.8105%;\"><span style=\"font-weight: 400;\">N\/D<\/span><\/td>\n<td style=\"width: 12.7692%;\"><span style=\"font-weight: 400;\">2025-01-02 17:35:47 UTC<\/span><\/td>\n<td style=\"width: 16.2045%;\"><span style=\"font-weight: 400;\">Variante PowerShell<\/span><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-163982-_heading=h.iz6enu5msmgy\"><\/a>Atribuci\u00f3n y cadena de suministro<\/h2>\n<p>Bas\u00e1ndonos en la evaluaci\u00f3n interna, estimamos con un nivel de confianza medio que un actor de amenazas de un Estado naci\u00f3n utiliz\u00f3 el malware Airstalk en un ataque a la cadena de suministro. Estamos rastreando la actividad identificada como un cl\u00faster de actividades que denominamos CL-STA-1009.<\/p>\n<p>Hemos seguido varios ataques a la cadena de suministro en los \u00faltimos a\u00f1os. Los ataques a la cadena de suministro tienen como objetivo los bienes y servicios de los que dependen las organizaciones para realizar sus actividades cotidianas. La cadena de suministro incluye el hardware que compone la infraestructura de una organizaci\u00f3n, los servicios basados en la nube en los que se conf\u00eda para gestionar los datos m\u00e1s confidenciales de una organizaci\u00f3n y el aumento de personal especializado.<\/p>\n<p>Esta \u00faltima categor\u00eda, que suele denominarse externalizaci\u00f3n de procesos empresariales (BPO), puede causar graves da\u00f1os cuando es objetivo de los atacantes. El hardware y el software pueden supervisarse, controlarse y aprovisionarse. Sin embargo, los activos humanos, sobre todo los altamente especializados, a menudo deben tener un amplio acceso a los sistemas cr\u00edticos de la empresa. Adem\u00e1s, suelen trabajar con equipos gestionados por sus propias organizaciones. Al ser gestionados por la BPO, quedan fuera del alcance de la mayor\u00eda de los controles de seguridad de la organizaci\u00f3n.<\/p>\n<p>Las organizaciones especializadas en BPO se han convertido en objetivos lucrativos tanto para los delincuentes como para los atacantes de Estados naci\u00f3n. Hemos observado un notable aumento de los ataques a BPO como fuente de intrusi\u00f3n en los incidentes que ocurrieron en los \u00faltimos a\u00f1os.<\/p>\n<p>Las BPO suelen aprovechar la econom\u00eda de escala para disponer de talentos altamente especializados que atienden a varios clientes al mismo tiempo. Aunque esto puede generar ahorros significativos tanto para la BPO como para sus clientes, el inconveniente es que permite que la BPO act\u00fae como puerta de enlace a m\u00faltiples objetivos. Los atacantes est\u00e1n dispuestos a invertir generosamente en los recursos necesarios no solo para comprometerlos, sino para mantener el acceso indefinidamente.<\/p>\n<h2><a id=\"post-163982-_heading=h.w9sh6f5lvbjg\"><\/a>Conclusi\u00f3n<\/h2>\n<p>CL-STA-1009 es un cl\u00faster de actividades de amenaza que representa la actividad de un presunto actor de un Estado naci\u00f3n. Este cl\u00faster est\u00e1 asociado al malware Airstalk, que evaluamos con adversarios de confianza media utilizados en ataques a la cadena de suministro.<\/p>\n<p>La variante .NET representa una evoluci\u00f3n del malware, con un protocolo de C2 multiproceso, control de versiones, emisi\u00f3n de se\u00f1ales peri\u00f3dicas y tareas compuestas m\u00e1s complejas. Este malware emplea t\u00e9cnicas de evasi\u00f3n de la defensa, incluido el uso de binarios firmados con un certificado revocado que parece haber sido emitido a una organizaci\u00f3n leg\u00edtima en 2024. Estas t\u00e9cnicas de evasi\u00f3n tambi\u00e9n incluyen la manipulaci\u00f3n de las marcas de tiempo de PE, aunque las marcas de tiempo de la firma ayudan a establecer una cronolog\u00eda de la actividad. Las capacidades del malware y su naturaleza adaptativa ponen de manifiesto la amenaza persistente que representa el actor que est\u00e1 detr\u00e1s de CL-STA-1009.<\/p>\n<p>Las t\u00e9cnicas de evasi\u00f3n empleadas por este malware le permiten pasar desapercibido en la mayor\u00eda de los entornos. Esto es especialmente cierto si el malware se ejecuta en el entorno de un proveedor externo. Esto es desastroso para las organizaciones que utilizan BPO, ya que las cookies de sesi\u00f3n de navegador robadas podr\u00edan permitir el acceso a una gran cantidad de clientes. Las capturas de pantalla robadas y las pulsaciones de teclado registradas pueden revelar informaci\u00f3n sensible y privilegiada no solo para la v\u00edctima, sino tambi\u00e9n para sus clientes.<\/p>\n<p>La supervisi\u00f3n a largo plazo permite a un atacante decidido comprender c\u00f3mo funciona la empresa y c\u00f3mo suele interactuar la organizaci\u00f3n de BPO con sus clientes, lo que reduce la probabilidad de que se detecten intrusiones posteriores. La clave para identificar y proteger las organizaciones de este tipo de ataques es ampliar el enfoque de la seguridad desde los indicadores t\u00edpicos y el control de acceso hasta la comprensi\u00f3n de c\u00f3mo suelen trabajar los usuarios, tanto internamente como externamente.<\/p>\n<p>Sin embargo, las diferencias en los patrones entre c\u00f3mo se comporta un atacante y c\u00f3mo se comportan normalmente sus usuarios acabar\u00e1n revel\u00e1ndolo si sabe a qu\u00e9 prestar atenci\u00f3n. Estas diferencias son las que debe identificar y sobre las que debe actuar utilizando herramientas de supervisi\u00f3n del comportamiento ajustadas para detectar anomal\u00edas sutiles.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra el malware Airstalk gracias a los siguientes productos:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> ayudan a prevenir el malware mediante el uso del <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">motor de prevenci\u00f3n de malware<\/a>. Este enfoque combina varias capas de protecci\u00f3n, entre ellas <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, la protecci\u00f3n contra amenazas de comportamiento y el m\u00f3dulo de an\u00e1lisis local, para ayudar a impedir que el malware, tanto conocido como desconocido, cause da\u00f1os en los endpoints.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-163982-_heading=h.8i3kipyta4rs\"><\/a>Indicadores de vulneraci\u00f3n (IoC)<\/h2>\n<table style=\"border-collapse: collapse; width: 100.64%; height: 174px;\">\n<thead>\n<tr style=\"height: 24px;\">\n<th style=\"width: 57.5046%; height: 24px;\"><strong>IoC<\/strong><\/th>\n<th style=\"width: 14.1233%; height: 24px;\"><strong>Tipo<\/strong><\/th>\n<th style=\"width: 66.1647%; height: 24px;\"><strong>Descripci\u00f3n<\/strong><\/th>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 57.5046%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">0c444624af1c9cce6532a6f88786840ebce6ed3df9ed570ac75e07e30b0c0bde<\/span><\/td>\n<td style=\"width: 14.1233%; height: 25px;\"><span style=\"font-weight: 400;\">SHA256<\/span><\/td>\n<td style=\"width: 66.1647%; height: 25px;\"><span style=\"font-weight: 400;\">Muestra de prueba firmada<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 57.5046%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">1f8f494cc75344841e77d843ef53f8c5f1beaa2f464bcbe6f0aacf2a0757c8b5<\/span><\/td>\n<td style=\"width: 14.1233%; height: 25px;\"><span style=\"font-weight: 400;\">SHA256<\/span><\/td>\n<td style=\"width: 66.1647%; height: 25px;\"><span style=\"font-weight: 400;\">Muestra de prueba firmada<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 57.5046%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">dfdc27d81a6a21384d6dba7dcdc4c7f9348cf1bdc6df7521b886108b71b41533<\/span><\/td>\n<td style=\"width: 14.1233%; height: 25px;\"><span style=\"font-weight: 400;\">SHA256<\/span><\/td>\n<td style=\"width: 66.1647%; height: 25px;\"><span style=\"font-weight: 400;\">Muestra de .NET de Airstalk<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 57.5046%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b6d37334034cd699a53df3e0bcac5bbdf32d52b4fa4944e44488bd2024ad719b<\/span><\/td>\n<td style=\"width: 14.1233%; height: 25px;\"><span style=\"font-weight: 400;\">SHA256<\/span><\/td>\n<td style=\"width: 66.1647%; height: 25px;\"><span style=\"font-weight: 400;\">Muestra de .NET de Airstalk<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 57.5046%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">4e4cbaed015dfbda3c368ca4442cd77a0a2d5e65999cd6886798495f2c29fcd5<\/span><\/td>\n<td style=\"width: 14.1233%; height: 25px;\"><span style=\"font-weight: 400;\">SHA256<\/span><\/td>\n<td style=\"width: 66.1647%; height: 25px;\"><span style=\"font-weight: 400;\">Muestra de .NET de Airstalk<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 57.5046%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">3a48ea6857f1b6ae28bd1f4a07990a080d854269b1c1563c9b2e330686eb23b5<\/span><\/td>\n<td style=\"width: 14.1233%; height: 25px;\"><span style=\"font-weight: 400;\">SHA256<\/span><\/td>\n<td style=\"width: 66.1647%; height: 25px;\"><span style=\"font-weight: 400;\">Muestra de PowerShell de Airstalk<\/span><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<p>Certificado de firma de c\u00f3digo:<\/p>\n<p>-----<span style=\"font-family: 'courier new', courier, monospace;\">BEGIN CERTIFICATE<\/span>-----<\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MIIF\/DCCA+SgAwIBAgIQKa+42RPbhP2zYvT9knuFUzANBgkqhkiG9w0BAQsFADB7<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MQswCQYDVQQGEwJVUzEOMAwGA1UECAwFVGV4YXMxEDAOBgNVBAcMB0hvdXN0b24x<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">ETAPBgNVBAoMCFNTTCBDb3JwMTcwNQYDVQQDDC5TU0wuY29tIEVWIENvZGUgU2ln<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">bmluZyBJbnRlcm1lZGlhdGUgQ0EgUlNBIFIzMB4XDTI0MDYyODEwMDQ0OVoXDTI1<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MDYyODAzMjkzN1owgfkxCzAJBgNVBAYTAkNOMQ4wDAYDVQQIDAVIZWJlaTERMA8G<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">A1UEBwwITGFuZ2ZhbmcxOjA4BgNVBAoMMUFvdGVuZyBJbmR1c3RyaWFsIEF1dG9t<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">YXRpb24gKExhbmdmYW5nKSBDby4sIEx0ZC4xGzAZBgNVBAUTEjkxMTMxMDAwTUEw<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">QTNIRjhYOTE6MDgGA1UEAwwxQW90ZW5nIEluZHVzdHJpYWwgQXV0b21hdGlvbiAo<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">TGFuZ2ZhbmcpIENvLiwgTHRkLjEdMBsGA1UEDwwUUHJpdmF0ZSBPcmdhbml6YXRp<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">b24xEzARBgsrBgEEAYI3PAIBAxMCQ04wdjAQBgcqhkjOPQIBBgUrgQQAIgNiAASf<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">B2NdKWXwGa7DkmCA5NiX+kQh5JkYBjGKJgSRz5BflX\/Bo+\/pXKfN8fsUOe5J3k+y<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">v\/XX53ZiHRJMmpWSjEHXyDFHbBco1hksVLOoeaTFHx65sh5eysXxwD3bwn1IzSCj<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">ggGpMIIBpTAMBgNVHRMBAf8EAjAAMB8GA1UdIwQYMBaAFDa9Sf8xLOuvakD+mcAW<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">7br8SN1fMH0GCCsGAQUFBwEBBHEwbzBLBggrBgEFBQcwAoY\/aHR0cDovL2NlcnQu<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">c3NsLmNvbS9TU0xjb20tU3ViQ0EtRVYtQ29kZVNpZ25pbmctUlNBLTQwOTYtUjMu<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">Y2VyMCAGCCsGAQUFBzABhhRodHRwOi8vb2NzcHMuc3NsLmNvbTBfBgNVHSAEWDBW<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">MAcGBWeBDAEDMA0GCyqEaAGG9ncCBQEHMDwGDCsGAQQBgqkwAQMDAjAsMCoGCCsG<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">AQUFBwIBFh5odHRwczovL3d3dy5zc2wuY29tL3JlcG9zaXRvcnkwEwYDVR0lBAww<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">CgYIKwYBBQUHAwMwUAYDVR0fBEkwRzBFoEOgQYY\/aHR0cDovL2NybHMuc3NsLmNv<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">bS9TU0xjb20tU3ViQ0EtRVYtQ29kZVNpZ25pbmctUlNBLTQwOTYtUjMuY3JsMB0G<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">A1UdDgQWBBQdt2jU+7Pr64QrUIvuU1nojIqttzAOBgNVHQ8BAf8EBAMCB4AwDQYJ<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">KoZIhvcNAQELBQADggIBAMBeOg1geZaMToh9XVF2rrQQRXArYYQKi5svgEX6YcjC<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">ZljQZBo8wIyvyyeJ7x33ThTTbPpukggrKE2p019jGjlKQMjWoA1leRatuyrMPVT<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">w5+Vs\/RCEogg1X\/n6wmvTUUNvLCv6iDgT3\/ZFrm7jIJKrwMkt\/HbuGE\/AB3w\/Hfk<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">tnDcWbMii58+HmuDbPRtfvKe1p9IZ6EbxdAVRrOg\/unECl4JC9gdzma0DbD6HhmY<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">AgaCEoqBds59ghNjN2y\/QpMiAvrUBpX6p4pJzIedj5cJ\/WID0QgalIWpOI18rRfP<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">Lkh6p02s5nmbSZKQQFtjPNCew65shUgCFdiV\/mnFVPbI76o4N41c2z+AEqODk6fI<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">QUEeCr8Ny\/Ro6ijXhycFvcN\/YS9mLeiZ43cyEx9iylGskYY7wbPUblzNAF5NzxuK<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">jp\/EBCUmCoj\/q43D2u\/ldB9ND4yaiaRmMMte8BVjSoU9xUUss7a5vft51ONTWtWS<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">O8Hbs4pnGcPCjewTdrgDqKYcLOPFN4M04kQHaQqQyQaY9Sff6\/2c16Sh4rmErluQ<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">lIbNggl4sHlpMObqSqPnkJy8ClBFr7ah7AH8k6hzyQheh1rXUtmK0TSCbywsLFfH<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">nGbFSa72+9mByBCUH3ckD+Nnv73dtRdH9\/M7+Oq+71BJQmMwmuMXPi450vTM4HIP<\/span><\/p>\n<p>-----<span style=\"font-family: 'courier new', courier, monospace;\">END CERTIFICATE<\/span>-----<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un actor de estado-naci\u00f3n est\u00e1 utilizando el novedoso malware Airstalk en ataques a la cadena de suministro para exfiltrar datos del navegador. Airstalk abusa de la API de AirWatch.<\/p>\n","protected":false},"author":366,"featured_media":163088,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8793],"tags":[9782,9783,9784,9221,9785,9781],"product_categories":[8925,8921,8928,8932,8935,8936,8890],"coauthors":[3754,4188],"class_list":["post-165129","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-malware-es-la","tag-net-es-la","tag-cl-sta-1009-es-la","tag-malicious-powershell-scripts-es-la","tag-powershell-es-la","tag-supply-chain-attack-es-la","tag-windows-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-code-to-cloud-platform-es-la","product_categories-cortex-es-la","product_categories-cortex-xsiam-es-la","product_categories-cortex-xsoar-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro<\/title>\n<meta name=\"description\" content=\"Un actor de estado-naci\u00f3n est\u00e1 utilizando el novedoso malware Airstalk en ataques a la cadena de suministro para exfiltrar datos del navegador. Airstalk abusa de la API de AirWatch.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro\" \/>\n<meta property=\"og:description\" content=\"Un actor de estado-naci\u00f3n est\u00e1 utilizando el novedoso malware Airstalk en ataques a la cadena de suministro para exfiltrar datos del navegador. Airstalk abusa de la API de AirWatch.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-29T14:29:08+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-11T16:01:04+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Kristopher Russo, Chema Garcia\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro","description":"Un actor de estado-naci\u00f3n est\u00e1 utilizando el novedoso malware Airstalk en ataques a la cadena de suministro para exfiltrar datos del navegador. Airstalk abusa de la API de AirWatch.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/","og_locale":"es_LA","og_type":"article","og_title":"Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro","og_description":"Un actor de estado-naci\u00f3n est\u00e1 utilizando el novedoso malware Airstalk en ataques a la cadena de suministro para exfiltrar datos del navegador. Airstalk abusa de la API de AirWatch.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/","og_site_name":"Unit 42","article_published_time":"2025-10-29T14:29:08+00:00","article_modified_time":"2025-11-11T16:01:04+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Kristopher Russo, Chema Garcia","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro","datePublished":"2025-10-29T14:29:08+00:00","dateModified":"2025-11-11T16:01:04+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/"},"wordCount":4297,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","keywords":[".NET","CL-STA-1009","Malicious PowerShell scripts","PowerShell","supply-chain attack","Windows"],"articleSection":["Investigaci\u00f3n de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/","name":"Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","datePublished":"2025-10-29T14:29:08+00:00","dateModified":"2025-11-11T16:01:04+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Un actor de estado-naci\u00f3n est\u00e1 utilizando el novedoso malware Airstalk en ataques a la cadena de suministro para exfiltrar datos del navegador. Airstalk abusa de la API de AirWatch.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/07_Security-Technology_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of Airstalk malware. A person typing on a laptop with digital graphics of binary code and light beams emanating from the screen, representing data transfer or cyber activity."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-windows-based-malware-family-airstalk\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Un presunto actor de amenazas de un estado naci\u00f3n usa el nuevo malware Airstalk en un ataque a la cadena de suministro"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/165129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=165129"}],"version-history":[{"count":5,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/165129\/revisions"}],"predecessor-version":[{"id":165134,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/165129\/revisions\/165134"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/163088"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=165129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=165129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=165129"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=165129"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=165129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}