GoSerpent: Nuevo malware amenaza a gobiernos y diplomáticos en Asia
Publicado el
Descubrimiento del malware GoSerpent
Investigadores de ciberseguridad han identificado un nuevo malware denominado GoSerpent, que ha sido utilizado en ataques dirigidos a entidades gubernamentales y diplomáticas en el sudeste asiático desde finales de 2025. La empresa de ciberseguridad Kaspersky reveló esta actividad en febrero de 2026, destacando su objetivo de obtener acceso prolongado y llevar a cabo la recolección de inteligencia.
Funcionalidades del malware
GoSerpent está diseñado para comunicarse con un servidor externo y desplegar cargas útiles secundarias, centrándose en la recopilación de datos sensibles y el volcado de credenciales en los sistemas infectados. Según la investigadora Noushin Shabab, el seguimiento de este actor de amenazas ha permitido observar un conjunto evolucionado de herramientas maliciosas en mayo de 2026, incluyendo un nuevo Stowaway RAT y una herramienta proxy. Estas herramientas están diseñadas para exfiltrar datos sensibles acumulados en los meses anteriores a través de comparticiones de red.
El objetivo final de estas operaciones es recolectar archivos confidenciales y prepararlos para su posterior exfiltración mediante una herramienta de recopilación de datos llamada ThumbcacheService. GoSerpent también ha utilizado herramientas para el volcado de credenciales, capturando las credenciales del sistema necesarias para facilitar la exfiltración de datos a través de unidades compartidas en red.
Evolución y características técnicas
Desde 2021, versiones anteriores de este implante basado en Go y RAT (troyano de acceso remoto) han sido empleadas contra diversas víctimas en la región, con variantes recientes en uso incluso este año. El malware opera recibiendo argumentos de línea de comandos cifrados y codificados en Base64, que incluyen la dirección de comando y control (C2) y la contraseña de comunicación. Una vez descifrado, el backdoor se conecta al servidor C2 a través de una conexión cifrada.
Los comandos que soporta GoSerpent incluyen: - Notificar al servidor sobre una infección activa - Iniciar escucha en un puerto específico - Cerrar un puerto de escucha - Conectar a un servidor remoto - Generar un shell en la máquina infectada - Subir o descargar archivos al servidor - Iniciar un proxy SOCKS5 en la máquina infectada - Reenviar a un nodo conectado
La capacidad de GoSerpent para establecer servidores proxy SOCKS5 permite a los atacantes enrutar tráfico a través de hosts comprometidos, ocultando así sus verdaderas direcciones IP.
Herramientas adicionales
Kaspersky ha señalado que el backdoor puede desplegar herramientas adicionales, tales como: - ThumbcacheService: un DLL que complementa GoSerpent con un sofisticado mecanismo de recopilación de archivos. - Mimikatz: para volcar memoria del proceso Local Security Authority Subsystem Service (LSASS) y extraer material de credenciales. - QuarksDumpLocalHash: que extrae hashes de contraseñas de cuentas locales del registro SAM.
En mayo de 2026, los actores detrás de GoSerpent regresaron al entorno comprometido para desplegar un nuevo conjunto de herramientas, incluyendo Stowaway, que ofrece características avanzadas de proxy y acceso remoto.
Conclusiones y riesgos
La preocupación que genera este malware radica en la estrategia de despliegue de herramientas con capacidades sofisticadas de recopilación y exfiltración de datos. Kaspersky ha indicado que la cadena de herramientas, desde ThumbcacheService hasta TmcLoader/TmcPayload, demuestra una planificación operativa elaborada. Aunque la atribución precisa del ataque sigue siendo incierta, se han observado similitudes con el grupo TetrisPhantom, que ha sido documentado previamente como un actor de amenazas altamente capacitado que ataca entidades gubernamentales en la región de Asia-Pacífico.