Hace poco la comunidad de seguridad volvió a poner la lupa sobre un grupo vinculado a Corea del Norte conocido en el mundillo como ScarCruft o APT37. Investigadores de Zscaler dieron con una campaña compleja y muy trabajada que han bautizado como "Ruby Jumper" y que, según el informe publicado a finales de 2025, combina técnicas tradicionales de ingeniería social con trucos modernos: uso de servicios legítimos en la nube como canal de mando y control y una curiosa estrategia para saltar redes aisladas mediante medios extraíbles.
El ataque comienza con algo que, en apariencia, puede pasar desapercibido: un archivo LNK malicioso. Al abrirlo, se ejecuta una cadena de PowerShell que no solo intenta persistir, sino que además extrae varios binarios y scripts embebidos dentro del propio acceso directo. Entre esos elementos hay un documento señuelo —en uno de los casos, un artículo traducido al árabe sobre el conflicto Palestina-Israel— y varios artefactos que se van activando en cadena para llevar la intrusión a fases cada vez más profundas.
Uno de los componentes más llamativos es un ejecutable que los investigadores denominaron RESTLEAF. Este binario se ejecuta en memoria y, por primera vez en las campañas atribuidas a este actor, utiliza Zoho WorkDrive como mecanismo de C2 (mando y control). RESTLEAF se autentica con el servicio utilizando un token válido, descarga shellcode alojado allí y lo inyecta en procesos para ejecutar etapas posteriores sin dejar demasiadas trazas en el disco.
La utilización de plataformas de almacenamiento en la nube como vector de C2 no es nueva, pero sí llama la atención que actores persistentes comiencen a explotar servicios menos masivos para pasar bajo el radar. Si quieres consultar el análisis técnico y las evidencias publicadas por los descubridores, el informe de Zscaler está disponible en su blog de investigación (aquí), y la página oficial de Zoho WorkDrive ayuda a entender el servicio que se aprovechó en el ataque (Zoho WorkDrive).
Tras la ejecución inicial, RESTLEAF despliega un instalador al que los investigadores llamaron SNAKEDROPPER. Este componente monta un entorno de ejecución Ruby autónomo en la máquina comprometida, crea persistencia mediante una tarea programada y deja caer varios módulos escritos en Ruby, entre ellos THUMBSBD y VIRUSTASK. El diseño de esa “mini-plataforma” Ruby permite que los operadores activen funcionalidades avanzadas incluso en sistemas que no contaban con Ruby instalado previamente.
THUMBSBD es, probablemente, la pieza que más preocupa a los equipos de seguridad operacional. Se presenta como un archivo Ruby y su especialidad es la propagación y el puenteo entre sistemas conectados a Internet y equipos aislados (air-gapped) mediante unidades USB y otros medios extraíbles. Si detecta la presencia de una memoria extraíble, crea carpetas ocultas para almacenar comandos emitidos por los operadores o para dejar resultados que luego serán recuperados por un equipo conectado a la red.
Desde esa posición, THUMBSBD puede recolectar información del sistema, descargar cargas adicionales desde servidores remotos, realizar exfiltración de archivos y ejecutar órdenes arbitrarias. Uno de los binarios secundarios que instala es FOOTWINE, una carga cifrada que incluye un lanzador de shellcode y funcionalidades de vigilancia: registro de teclas, captura de audio y vídeo, y comunicación con un servidor C2 mediante un protocolo binario personalizado sobre TCP. Además, la campaña también propaga un backdoor conocido como BLUELIGHT, que se ha observado ligado a este actor desde años atrás y que también abusa de proveedores en la nube (Google Drive, OneDrive, pCloud, BackBlaze) para recibir órdenes y trasladar ficheros.
VIRUSTASK, por su parte, repite el patrón de Ruby y se centra específicamente en convertir unidades extraíbles en vectores de infección para sistemas fuera de la red. Mientras THUMBSBD actúa como brazo operativo (ejecución y exfiltración), VIRUSTASK busca maximizar la capacidad de las memorias USB para introducir el malware en segmentos de la red que, por diseño, están aislados.
Lo que deja claro este caso es la combinación de métodos de siempre con recursos modernos: el señuelo humano (documentos falsos), el abuso de la funcionalidad administrativa de Windows mediante PowerShell y LNK, la ocultación de cargas en memoria y la explotación de servicios en la nube como conduits legítimos. El resultado es una cadena de ataque en varias etapas diseñada para ser resiliente y difícil de erradicar sin una respuesta coordinada.
Desde el punto de vista defensivo conviene prestar atención a varios puntos: monitorizar y analizar el comportamiento inusual de procesos que ejecuten PowerShell o que manipulen archivos LNK, vigilar el uso de tokens y accesos a APIs de almacenamiento en la nube, controlar estrictamente las políticas y el acceso a medios extraíbles y desactivar la ejecución automática cuando sea posible. Además es esencial que los equipos de SOC y respuesta a incidentes integren detecciones en memoria y telemetría de red para identificar comunicaciones con servicios en la nube que no sean habituales en la organización.
Si quieres leer una nota de prensa que resume la campaña desde el punto de vista informativo, medios especializados como BleepingComputer también han cubierto el hallazgo y amplifican las conclusiones técnicas del reporte (información adicional en BleepingComputer).
Ruby Jumper nos recuerda que los atacantes combinan creatividad técnica con tácticas conocidas para sortear defensas.
La recomendación para administradores y responsables de seguridad es no subestimar la amenaza que representan las unidades extraíbles ni la posibilidad de que servicios en la nube sean empleados como pasarela de control por actores persistentes. La detección temprana, la segmentación de redes, la adecuada gestión de credenciales y el endurecimiento de políticas de ejecución (especialmente en estaciones de trabajo con acceso a documentos externos) siguen siendo medidas clave para mitigar campañas de este tipo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...