En el constante juego del gato y el ratón entre atacantes y defensores, las herramientas de los ciberdelincuentes evolucionan sin cesar. Un ejemplo reciente es PipeMagic, un backdoor altamente modular utilizado por el grupo Storm-2460. Lo que hace a PipeMagic especialmente interesante (y peligroso) es su disfraz: se hace pasar por una aplicación de escritorio de ChatGPT de código abierto.
Pero no te dejes engañar por las apariencias. Detrás de esta fachada, PipeMagic es un framework de malware sofisticado, diseñado para la flexibilidad y la persistencia. Una vez desplegado, puede ejecutar payloads de forma dinámica, manteniendo una comunicación robusta con su servidor de comando y control (C2) a través de un módulo de red dedicado. Esto permite a los atacantes tener un control muy preciso sobre la ejecución del código en el equipo infectado.
¿Por qué es Importante PipeMagic?
Microsoft Threat Intelligence descubrió PipeMagic durante una investigación sobre una cadena de ataque que explotaba la vulnerabilidad CVE-2025-29824, una elevación de privilegios en Windows Common Log File System (CLFS). Atribuyeron PipeMagic al grupo Storm-2460, motivado financieramente, que utilizó este backdoor en ataques dirigidos para explotar esta vulnerabilidad de día cero e instalar ransomware.
Los objetivos de Storm-2460 abarcan múltiples sectores y geografías, incluyendo la tecnología de la información (TI), las finanzas y el sector inmobiliario en Estados Unidos, Europa, Sudamérica y Oriente Medio. Aunque el número de organizaciones afectadas es limitado, el uso de un exploit de día cero, junto con un backdoor modular sofisticado para el despliegue de ransomware, hace que esta amenaza sea particularmente notable.
Análisis técnico de PipeMagic
PipeMagic se ha utilizado en múltiples instancias como parte de la actividad previa a la explotación en cadenas de ataque que involucran la vulnerabilidad CVE-2025-29824. Microsoft Threat Intelligence observó a Storm-2460 utilizando la utilidad certutil para descargar un archivo desde un sitio web legítimo que había sido previamente comprometido para alojar el malware del grupo atacante. El payload descargado es un archivo MSBuild malicioso que finalmente descarga y ejecuta PipeMagic en memoria. Una vez que PipeMagic está en funcionamiento, el atacante realiza el exploit de CLFS para escalar privilegios antes de lanzar su ransomware.
La primera etapa de la ejecución de la infección de PipeMagic comienza con un dropper malicioso en memoria disfrazado del proyecto de aplicación de escritorio ChatGPT de código abierto. El atacante utiliza una versión modificada del proyecto de GitHub que incluye código malicioso para descifrar y lanzar un payload incrustado en la memoria.
Arquitectura modular y comunicación C2
Una de las características clave de PipeMagic es su arquitectura modular. El malware se auto-actualiza almacenando módulos en memoria utilizando una serie de listas doblemente enlazadas. Estas listas sirven para diferentes propósitos: preparación, ejecución y comunicación, lo que permite al atacante interactuar y gestionar las capacidades del backdoor a lo largo de su ciclo de vida.
Listas internas enlazadas
En el análisis de Microsoft, se identificaron cuatro estructuras de listas doblemente enlazadas distintas, cada una con una función única dentro de la arquitectura del backdoor:
- Lista enlazada de payloads: Almacena módulos de payloads sin procesar en cada nodo, representando la etapa inicial de la implementación modular.
- Lista enlazada de ejecución: Contiene módulos de payloads que se han cargado con éxito en la memoria y están listos para su ejecución.
- Lista enlazada de red: Contiene módulos de red responsables de la comunicación C2.
- Lista enlazada desconocida: Esta estructura carece de una función inmediatamente observable. Basándose en el análisis del comportamiento, se plantea la hipótesis de que es utilizada dinámicamente por los payloads cargados en lugar de la lógica central del backdoor en sí.
Comunicación con el servidor C2
PipeMagic no se comunica directamente con el servidor C2. En su lugar, delega esta tarea a un módulo de red en la lista enlazada de red. El módulo de red se encarga de establecer una conexión TCP con el servidor C2 y enviar información del sistema infectado.
¿Cómo protegerse de PipeMagic?
Microsoft recomienda las siguientes mitigaciones para reducir el impacto de la actividad asociada con PipeMagic y Storm-2460:
- Asegúrate de que la protección contra alteraciones esté habilitada en Microsoft Defender for Endpoint.
- Habilita la protección de red en Microsoft Defender for Endpoint.
- Ejecuta la detección y respuesta de endpoints (EDR) en modo de bloqueo para que Microsoft Defender for Endpoint pueda bloquear artefactos maliciosos, incluso cuando tu antivirus que no es de Microsoft no detecte la amenaza o cuando Microsoft Defender Antivirus se esté ejecutando en modo pasivo.
- Configura la investigación y la corrección en modo totalmente automatizado para permitir que Microsoft Defender for Endpoint tome medidas inmediatas sobre las alertas para resolver las infracciones, reduciendo significativamente el volumen de alertas. Utiliza Microsoft Defender Vulnerability Management para evaluar tu estado actual e implementar cualquier actualización que pueda haberse omitido.
- Activa la protección entregada en la nube en Microsoft Defender Antivirus o el equivalente para tu producto antivirus para cubrir las herramientas y técnicas de atacantes que evolucionan rápidamente. Las protecciones de aprendizaje automático basadas en la nube bloquean la mayoría de las variantes nuevas y desconocidas.
PipeMagic es un ejemplo claro de la sofisticación que están alcanzando las amenazas cibernéticas. Su arquitectura modular, su capacidad de disfrazarse y su uso de técnicas avanzadas de comunicación hacen que sea una herramienta muy peligrosa. Es crucial que las organizaciones estén al tanto de este tipo de amenazas y tomen las medidas necesarias para protegerse.