Un cibercriminal ruso engaña a aspirantes a hackers y tramposos de videojuegos con malware disfrazado
Los investigadores de Sophos han identificado una operación masiva de cibercrimen liderada por una sola persona o grupo conocido como «ischhfd83», responsable de más de cien repositorios de malware con puertas traseras en GitHub que apuntan específicamente a cibercriminales novatos y jugadores que buscan herramientas de trampa.
El descubrimiento del Sakura RAT
La investigación comenzó cuando un cliente de Sophos preguntó sobre un troyano de acceso remoto (RAT) llamado Sakura RAT, que había aparecido en publicaciones periodísticas y redes sociales en abril, supuestamente con sofisticados mecanismos de evasión.
Sin embargo, al analizar más profundamente, los investigadores descubrieron que Sakura RAT no hacía mucho más que instalar infostealers y otros RATs en la máquina del atacante que intentaba usarlo. La mayor parte del código estaba copiado de AsyncRAT, un malware ampliamente utilizado en círculos criminales, pero con muchos de los formularios vacíos, lo que significa que no funcionaría como el atacante pretendía.
Lo más preocupante es que Sakura RAT contenía un evento PreBuild en su archivo de proyecto Visual Basic con comandos que descargaban silenciosamente malware en el dispositivo del usuario.
La red masiva de repositorios maliciosos
Con su interés despertado, los investigadores de Sophos examinaron los otros repositorios de ischhfd83, encontrando 141 repositorios en total, de los cuales 133 estaban comprometidos de alguna manera. 111 de estos utilizaban la misma táctica de evento PreBuild que Sakura RAT.
Distribución de los repositorios maliciosos:
- 58% se comercializaban como trucos para videojuegos
- 24% aparecían disfrazados como proyectos de malware, exploits o herramientas de ataque
- 7% relacionados con bots
- 5% herramientas de criptomonedas
- 6% herramientas misceláneas
La actividad de ischhfd83 se extendió principalmente durante 2024-2025, incluyendo proyectos que apuntaban a vulnerabilidades divulgadas tan recientemente como abril, aunque los investigadores creen que la campaña podría haber comenzado en 2022.
Técnicas de engaño sofisticadas
Sophos notó que ischhfd83 «parece estar haciendo grandes esfuerzos para que sus repositorios comprometidos parezcan legítimos». Al examinar los archivos YAML en sus repositorios, los investigadores descubrieron que utilizaba un flujo de trabajo de GitHub Actions para automatizar commits, con algunos repositorios registrando casi 60,000 commits en solo unos pocos meses.
Señales de alerta identificadas:
- Pocos contribuyentes por repositorio, casi ninguno con repositorios propios
- Nombres de usuario muy similares, algunos con solo unos pocos caracteres cambiados
- Los propietarios solo contribuían a proyectos de otros en el mismo grupo
- Misma dirección de email vinculada a ischhfd83: ischhfd83[at]rambler[.]ru
Conexiones con campañas anteriores
Sophos no es la primera empresa de seguridad en examinar tales campañas. Checkmarx ha estado particularmente activa en esto desde 2022, y Sophos ha vinculado gran parte de su trabajo a ischhfd83. Campañas investigadas por Trend Micro, Kaspersky, Check Point y otros también comparten cualidades superpuestas.
Los repositorios de ischhfd83 fueron caracterizados como una extensión del trabajo de otros proveedores en lo que se conoce como una operación de distribución como servicio.
Métodos de distribución
Aunque el modelo de distribución para las campañas de ischhfd83 no está claro, trabajos previos han identificado Discord y YouTube como medios principales para difundir los enlaces a proyectos maliciosos de GitHub para infectar a aspirantes a cibercriminales.
Respuesta y consecuencias
Sophos reportó rápidamente el proyecto Sakura RAT comprometido a GitHub cuando se dio cuenta de lo que estaba ocurriendo, y la plataforma lo eliminó con relativa rapidez, aunque los reportes de noticias y publicaciones en redes sociales que ensalzan sus capacidades siguen siendo buscables.
Advertencias para usuarios
La ironía detrás de la dinámica atacante-contra-atacante podría ser refrescante para los observadores, pero también podría tener consecuencias no deseadas. Para nuevos entusiastas de código abierto que exploran GitHub por primera vez, podrían ser fácilmente engañados por los commits automatizados pensando que uno de estos proyectos era seguro.
Perspectivas futuras
Los investigadores advierten que «no está claro si esta campaña está directamente vinculada a algunas o todas las campañas anteriores reportadas, pero el enfoque parece ser popular y efectivo, y es probable que continúe de una forma u otra».
En el futuro, es posible que el enfoque cambie, y los actores de amenaza pueden apuntar a otros grupos además de cibercriminales inexpertos y jugadores que usan trucos
Esta campaña representa un ejemplo fascinante de cómo los cibercriminales no solo atacan a víctimas legítimas, sino que también se aprovechan de otros miembros de su propia comunidad criminal, creando un ecosistema complejo de engaño dentro del mundo del cibercrimen.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://news.betazeta.dev/2025/06/07/descubren-mas-de-100-repositorios-maliciosos-en-github-creados-por-un-solo-usuario/&media=https://news.betazeta.dev/wp-content/uploads/2025/06/GithubMalware.webp&description=Los investigadores de Sophos han identificado una operación masiva de cibercrimen liderada por una sola persona o grupo conocido como "ischhfd83", responsable de más de cien repositorios de malware con puertas traseras en GitHub que apuntan específicamente a cibercriminales novatos y jugadores que buscan herramientas de trampa.){kind=link}