Los kits de phishing suelen tener firmas distintivas en sus métodos de entrega e infraestructura, lo que facilita la atribución. Sin embargo, analistas han observado recientemente una superposición entre dos kits de phishing como Salty2FA y Tycoon2FA, marcando un cambio significativo que complica la detección.
ANY.RUN observó una caída repentina en la actividad de Salty2FA, seguida de la aparición de indicadores de Tycoon2FA dentro de las cadenas de ataque de Salty. Finalmente, se detectaron cargas útiles únicas que combinaban código de ambos frameworks. Esta convergencia debilita las reglas de detección específicas de cada kit y ofrece a los actores de amenazas más margen para evadir la detección temprana.
Puntos Clave
- Colapso de Salty2FA: La actividad de Salty2FA disminuyó drásticamente a finales de octubre de 2025, cayendo de cientos de envíos semanales al sandbox de ANY.RUN a solo unas pocas docenas.
- Superposición de Indicadores: Nuevas muestras comenzaron a mostrar indicadores superpuestos de Salty2FA y Tycoon2FA, incluyendo TTPs y reglas de detección compartidas.
- Cargas Híbridas: El análisis de código confirmó cargas útiles híbridas: las etapas iniciales coincidían con Salty2FA, mientras que las etapas posteriores reproducían la cadena de ejecución de Tycoon2FA casi línea por línea.
- Fallo de Infraestructura: La infraestructura de Salty2FA mostró signos de fallas operativas, lo que obligó a las muestras a recurrir al hosting y la entrega de cargas útiles basados en Tycoon.
- Vínculo con Storm-1747: La superposición se alinea con hipótesis anteriores que sugieren una posible conexión con Storm-1747, un grupo conocido por operar Tycoon2FA.
El Descenso de Salty2FA y el Surgimiento Híbrido
A finales de octubre de 2025, las presentaciones al sandbox de ANY.RUN relacionadas con Salty2FA se desplomaron. La regla de Suricata sid:85002719 específica de Salty dejó de activarse en las nuevas muestras después del 1 de noviembre. Al investigar la caída de actividad, los analistas observaron que muchas muestras se volvieron no funcionales o utilizaban una infraestructura inusual, como ASP.NET CDN.
Lo más notable fue que, simultáneamente, se detectaron sesiones que arrojaban veredictos para Salty2FA y Tycoon2FA, dos kits que se creía distintos. Los indicadores de Tycoon2FA, incluyendo dominios generados por DGA (Domain Generation Algorithm) vinculados a su infraestructura fast-flux, se activaron en muestras supuestamente de Salty.
Análisis Detallado de la Carga Útil Híbrida
El análisis de código de las nuevas muestras reveló la naturaleza híbrida del ataque. El proceso de ejecución comenzaba con una página de phishing que contenía artefactos de Salty2FA, como “citas motivacionales” incrustadas y nombres de clases generados con patrones de Salty.
El código de la página incluía un “trampolín” que intentaba recuperar la siguiente etapa de la carga útil de un dominio asociado a Salty2FA (hxxps[://]omvexe[.]shop//). Sin embargo, el análisis de DNS mostró que el dominio de Salty fallaba con un error SERVFAIL, lo que indica un problema en el lado del servidor.
Debido a este fallo, el script de Salty cambiaba a un plan de respaldo, cargando la siguiente etapa desde una dirección alternativa. Esta segunda etapa contenía código que replicaba los pasos finales de la cadena de ejecución de Tycoon2FA. Las similitudes con Tycoon incluían:
- Valores de variables predefinidos.
- Funciones de cifrado de datos con IV/clave codificadas.
- Función para codificar datos robados como octetos binarios.
- Enrutamiento de URL dinámico mediante patrones RandExp.
- Solicitudes POST a un servidor utilizando un nombre de dominio generado por DGA.
La presencia de código comentado y datos de prueba en la carga útil híbrida sugiere que los operadores estaban realizando ediciones rápidas o probando funcionalidades sin refinar completamente el código.
Implicaciones para la Detección y Respuesta
La aparición de kits de phishing híbridos como Salty2FA-Tycoon2FA complica la atribución tradicional y la detección. Si Storm-1747 es responsable de ambos frameworks, las TTPs y los perfiles de víctimas de Tycoon2FA también se aplicarían a los ataques de Salty2FA, lo que podría acortar los tiempos de detección y respuesta si los equipos de seguridad están preparados.
Recomendaciones para los Equipos de SOC:
- Tratar como Cluster de Amenazas: Considerar a Salty2FA y Tycoon2FA como parte del mismo cluster de amenazas. Las reglas de correlación y los pipelines de enriquecimiento deben tener en cuenta ambas familias juntas.
- Hipótesis de Carga Útil de Respaldo: Desarrollar hipótesis de caza de amenazas que consideren la transición de Salty a Tycoon cuando la infraestructura de Salty falle.
- Priorizar el Comportamiento: En lugar de depender de IOCs estáticos simples, centrarse en patrones de manipulación del DOM, lógica de las etapas de ejecución, actividad de DGA y dominios fast-flux, que tienden a ser más estables.
- Actualizar Playbooks de IR: Incluir escenarios en los playbooks de respuesta a incidentes donde coexistan múltiples frameworks o secuencias de carga útil de diferentes kits.
- Anticipar Propagación Rápida de TTPs: Monitorear los cambios observados en Tycoon2FA, ya que podrían replicarse rápidamente en Salty2FA, permitiendo a los equipos de SOC adelantarse a las brechas de detección.
En resumen, el aumento de los kits de phishing híbridos implica que los defensores deben prepararse para campañas más flexibles, modulares y con mayor tolerancia a fallos de infraestructura, características de grupos de amenazas cada vez más maduros.
Referencias
Indicadores de Compromiso:
- 1otyu7944x8[.]workers[.]dev
- xm65lwf0pr2e[.]workers[.]dev
- diogeneqc[.]pages[.]dev
- stoozucha[.]sa[.]com
- omvexe[.]shop
- lapointelegal-portail[.]pages[.]dev
- lathetai[.]sa[.]com
Análisis de Muestras:
- Análisis de Salty2FA/Tycoon2FA Hybrid Sample (Referencia al artículo original)