Netcrook Logo
👤 SECPULSE
🗓️ 20 Apr 2026   🗂️ Cyber Warfare     🌍 Asia

Notas en la Sombra: Cómo un Ransomware Sigiloso Acecha PCs Turcos Usando el Manto de Adwind

Una nueva campaña de ransomware explota técnicas avanzadas de ofuscación y un enfoque local para extorsionar silenciosamente a víctimas turcas sin levantar sospechas.

El inframundo digital rara vez está en silencio, pero algunas amenazas se deslizan entre las sombras - hasta que aparece una nota de rescate en tu propio idioma. Los usuarios de computadoras en Turquía son los últimos objetivos de una astuta campaña de ransomware, en la que los atacantes emplean una versión personalizada del notorio troyano de acceso remoto (RAT) Adwind y una red de trucos técnicos para evadir la detección y maximizar sus ganancias.

Dentro del Ataque: Ofuscación, Localización y Cifrado

La historia comenzó cuando analistas de seguridad, revisando archivos Java Archive sospechosos en VirusTotal, notaron algo inusual: una nota de rescate en turco, que aparecía tras la infección. No se trataba de un ataque aleatorio. El malware primero verifica que el equipo de la víctima tenga configuraciones de idioma turco y comprueba su ubicación mediante la dirección IP. Solo cuando ambas condiciones se cumplen, despliega toda su carga maliciosa.

En el corazón de esta operación se encuentra una versión modificada del RAT Adwind, una herramienta de acceso remoto conocida por su flexibilidad y alcance multiplataforma. Pero los atacantes no se detuvieron ahí - envolvieron su código en capas de ofuscación usando herramientas como Stringer y Allatori, y añadieron un cargador de clases personalizado para frustrar a los ingenieros inversos. Una función llamada “FilePumper” infla el archivo del malware con datos aleatorios en cada infección, cambiando su huella digital y esquivando así las detecciones simples de antivirus.

Una vez activado, el malware desactiva funciones críticas de seguridad: Microsoft Defender queda debilitado, las alertas de seguridad se silencian, las copias sombra se eliminan y los productos antivirus son catalogados. Luego, el malware descarga el componente real de ransomware - JanaWare - escrito en Java y diseñado para cifrar, eliminar o incluso robar archivos. Las comunicaciones con la infraestructura de los atacantes fluyen a través de la red Tor, asegurando el anonimato y dificultando que las autoridades rastreen o interrumpan las operaciones.

Las víctimas quedan con notas de rescate - cada una titulada “ONEMLI_NOT” (“Nota Importante”) - insertadas en múltiples carpetas. Las instrucciones les indican contactar a los extorsionadores mediante plataformas centradas en la privacidad como qTox o sitios onion en Tor. Todas las claves de cifrado se envían a través de Tor, dejando a las víctimas con pocas esperanzas de recuperar sus datos sin pagar el rescate.

A diferencia de los ataques de ransomware de alto perfil que acaparan titulares mundiales, esta campaña es discreta pero persistente. Investigadores de seguridad sugieren que su enfoque limitado y demandas de rescate modestas le han permitido operar durante años sin atraer demasiada atención.

El Silencioso Peligro del Cibercrimen Localizado

La campaña de JanaWare es un recordatorio contundente: los ciberdelincuentes no siempre necesitan alcance global para tener éxito. Al adaptar los ataques a regiones específicas y emplear tácticas sofisticadas de evasión, grupos más pequeños pueden cosechar ganancias en silencio mientras pasan desapercibidos. Los usuarios turcos, y en realidad cualquiera en un mundo digitalmente conectado, deben permanecer vigilantes - a veces, las amenazas más peligrosas son aquellas de las que nunca llegas a oír hablar.

WIKICROOK

  • Ransomware: El ransomware es un software malicioso que cifra o bloquea datos, exigiendo un pago a las víctimas para restaurar el acceso a sus archivos o sistemas.
  • Adwind RAT: Adwind RAT es un troyano de acceso remoto basado en Java que permite a los atacantes controlar sistemas infectados y robar información sensible en múltiples plataformas.
  • Ofuscación: La ofuscación es la práctica de disfrazar código o datos para dificultar que humanos o herramientas de seguridad los entiendan, analicen o detecten.
  • Red Tor: La red TOR es una herramienta de privacidad que enruta el tráfico de Internet a través de varios servidores, dificultando rastrear la identidad o las acciones en línea de los usuarios.
  • Copias Sombra: Las copias sombra son instantáneas automáticas de respaldo de archivos o sistemas, que permiten la recuperación de datos pero suelen ser objetivo de eliminación por ataques de ransomware.
Ransomware Adwind RAT Cybercrime
SECPULSE SECPULSE
SOC Detection Lead
← Back to news