El Departamento de Justicia de los Estados Unidos (DOJ) anunció el jueves la interrupción de la infraestructura en línea asociada con Danabot (también conocido como Danatools) y cargos revelados contra 16 individuos por su presunta participación en el desarrollo y despliegue del malware, que según fue controlada por una organización de delitos cibernético con sede en Rusia.
El DOJ dijo que el malware infectó a más de 300,000 computadoras víctimas en todo el mundo, facilitó el fraude y el ransomware, y causó al menos $ 50 millones en daños. Dos de los acusados, Aleksandr Stepanov (también conocido como Jimmbee), de 39 años, y Artem Aleksandrovich Kalinkin (también conocido como Onix), 34, ambos de Novosibirsk, Rusia, están actualmente en libertad.
Stepanov ha sido acusado de conspiración, conspiración para cometer fraude al cable y fraude bancario, robo de identidad agravado, acceso no autorizado a una computadora protegida para obtener información, deterioro no autorizado de una computadora protegida, intervención de contabilidad y uso de una comunicación interceptada. Kalinkin ha sido acusado de conspiración para obtener acceso no autorizado a una computadora para obtener información, para obtener acceso no autorizado a una computadora para defraudar y cometer un deterioro no autorizado de una computadora protegida.
La denuncia penal y la acusación criminal no selves muestran que muchos de los acusados, contando kalinkin, expusieron sus identidades de la vida real después de infectar accidentalmente sus propios sistemas con el malware.
«En algunos casos, tales autoinfecciones parecían hacerse deliberadamente para probar, analizar o mejorar el malware», decía la queja (PDF). «En otros casos, las infecciones parecían ser inadvertidas, uno de los peligros de cometer delitos cibernéticos es que los delincuentes a veces se infectan con su propio malware por error».
«Las infecciones inadvertidas a menudo dieron como resultado que los datos del actor se roben de datos confidenciales y comprometidos a los servidores de Danabot, incluidos los datos que ayudaron a identificar a los miembros de la organización Danabot».
Si es declarado culpable, se espera que Kalinkin enfrente una sentencia máxima legal de 72 años en la prisión federal. Stepanov enfrentaría un plazo de cárcel de cinco años. Al concurrente con la acción, el esfuerzo de aplicación de la ley, realizado como parte de la Operación Fin de la Operación, vio los servidores de comando y control (C2) de Danabot incautados, incluidas docenas de servidores virtuales alojados en los Estados Unidos.
«El malware de Danabot utilizó una variedad de métodos para infectar las computadoras víctimas, incluidos los mensajes de correo electrónico de spam que contienen archivos adjuntos maliciosos o hipervínculos», dijo el Departamento de Justicia. «Las computadoras víctimas infectadas con el malware Danabot se convirtieron en parte de una botnet (una red de computadoras comprometidas), lo que permite a los operadores y usuarios de Botnet controlar de forma remota las computadoras infectadas de manera coordinada».
 |
| Ejemplo de infraestructura típica de Danabot |
Danabot, como el recientemente desmantelado Malware Lumma Stealer, opera bajo un esquema de malware como servicio (MAAS), con los administradores que arrendan el acceso a partir de $ 500 a «varios miles de dólares» al mes. Seguido bajo los apodos Scully Spider y Storm-1044, es una herramienta multifuncional en la línea de Emotet, Trickbot, Qakbot e IceDid que es capaz de actuar como robador y un vector de entrega para cargas útiles de la próxima etapa, como el ransomware.
El malware modular basado en Delphi está equipado para sifones de las computadoras víctimas, las sesiones de banca de secuestro y la información del dispositivo de robo, los historiales de navegación de los usuarios, las credenciales de cuentas almacenadas e información de billetera de moneda virtual. También puede proporcionar acceso remoto completo, teclas de registro y videos de captura. Ha sido activo en la naturaleza desde su debut en mayo de 2018, cuando comenzó como un troyano bancario.
«Danabot inicialmente atacó a las víctimas en Ucrania, Polonia, Italia, Alemania, Austria y Australia antes de expandir su postura de orientación para incluir instituciones financieras con sede en Estados Unidos y Canadá en octubre de 2018», dijo Crowdstrike. «La popularidad del malware creció debido a su desarrollo modular temprano que admite inyecciones web basadas en ZEUS, capacidades de robo de información, registro de pulsación de tecla, grabación de pantalla y funcionalidad de computación de red virtual (HVNC) oculta».
Según Black Lotus Labs y Team Cymru, Danabot emplea una infraestructura de comunicaciones en capas entre una víctima y los controladores Botnet, en el que el tráfico C2 se proxena a través de dos o tres niveles de servidor antes de que alcance el nivel final. Al menos de cinco a seis servidores de nivel 2 estaban activos en un momento dado. La mayoría de las víctimas de Danabot se concentran en Brasil, México y Estados Unidos.
«Los operadores han demostrado su compromiso con su oficio, adaptado a la detección y cambios en la defensa empresarial, y con iteraciones posteriores, aislando los C2 en niveles para ofuscar el seguimiento», dijeron las compañías. «A lo largo de este tiempo, han hecho que el BOT sea más fácil de usar con precios estructurados y atención al cliente».
 |
| Número de campañas de Danabot observadas en los datos de amenazas de correo electrónico de PruebePoint de mayo de 2018 a abril de 2025 |
Los datos de telemetría recopilados por Proofpoint muestran que Danabot estaba «casi completamente ausente» del panorama de amenazas de correo electrónico desde julio de 2020 hasta junio de 2024, lo que indica que los actores de amenaza propagaron el malware a través de otros métodos como envenenamiento por SEO y campañas malvertidas.
El Departamento de Justicia dijo que los administradores de Danabot operaron una segunda versión de la Botnet que fue especialmente diseñada para atacar a las computadoras víctimas en entidades militares, diplomáticas, gubernamentales y relacionadas en América del Norte y Europa. Esta variante, que emerge en enero de 2021, fue equipada con capacidades para registrar todas las interacciones que ocurren en un dispositivo de víctima y enviar los datos a un servidor diferente.
«El malware generalizado como Danabot perjudica a cientos de miles de víctimas en todo el mundo, incluidas entidades militares, diplomáticas y gubernamentales sensibles, y causa muchos millones de dólares en pérdidas», dijo el Fiscal de los Estados Unidos, Bill Essayli para el Distrito Central de California.
Los laboratorios de Lumen Lotus de Lumen le dijeron a The Hacker News «Vimos que un nivel de servicio dio a los compradores la capacidad de usar una configuración privada de C2, o incluso usar su propia botnet,» y agregó que tenían recuentos de tráfico muy bajos, lo que podría indicar una campaña enfocada en las líneas de espionaje. «En cuanto a si fue para fines de espionaje directo, eso probablemente se alinearía con la forma en que notamos que muchos de los C2 casi no tenían volumen de bot», dijo Chris Formosa. «Pero no tenemos pruebas de que definitivamente se usaron solo para el espionaje o específicamente dirigidos a los gobiernos, etc.»
 |
| Diagrama de alto nivel de arquitectura C2 de múltiples niveles |
El Departamento de Justicia acreditó además a varias empresas del sector privado, Amazon, Crowdsstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru y ZScaler, por proporcionar «asistencia valiosa».
Algunos de los aspectos notables de Danabot, compilados de varios informes, están a continuación –
- Sub-Botnet 5 de Danabot recibió comandos para descargar un ejecutable basado en Delphi aprovechado para realizar ataques de denegación de servicio (DDoS) basado en HTTP contra el servidor de correo web de la defensa (MOD) basado en HTTP y el Consejo de Seguridad y Defensa Nacional (NSDC) de Ukraine en marzo de 2022, poco después de la invasión de la invasión de Russh
- Dos subbotnets de Danabot, 24 y 25, se utilizaron específicamente para fines de espionaje probablemente con el objetivo de obtener más actividades de recolección de inteligencia en nombre de los intereses del gobierno ruso
- Los operadores de Danabot han reestructurado periódicamente su oferta desde 2022 para centrarse en la evasión de defensa, con al menos 85 números de construcción distintos identificados hasta la fecha (la versión más reciente es 4006, que se compiló en marzo de 2025)
- La infraestructura del malware consta de múltiples componentes: un «bot» que infecta los sistemas de destino y realiza la recopilación de datos, un «Onlineserver» que administra las funcionalidades de las ratas, un «cliente» para procesar registros recopilados y gestión de bots, y un «servidor» que maneja la generación de botes, el embalaje y la comunicación C2.
- Danabot ha sido utilizado en ataques de espionaje específicos contra funcionarios gubernamentales en el Medio Oriente y Europa del Este
- Los autores de Danabot operan como un solo grupo, que ofrecen el malware para alquilar a posibles afiliados, que posteriormente lo usan para sus propios fines maliciosos estableciendo y administrando sus propios botnets utilizando servidores privados
- Los desarrolladores de Danabot se han asociado con los autores de varios criptadores y cargadores de malware, como Matanbuchus, y ofrecieron precios especiales para los paquetes de distribución
- Danabot mantuvo un promedio de 150 servidores activos de nivel 1 C2 por día, con aproximadamente 1,000 víctimas diarias en más de 40 países, lo que lo convierte en una de las plataformas MAAS más grandes activas en 2025
Proofpoint, que identificó y llamó por primera vez a Danabot en mayo de 2018, dijo que la interrupción de la operación Maas es una victoria para los defensores y que tendrá un impacto en el panorama de amenazas cibercriminales.
«Las interrupciones cibercriminales y las acciones de aplicación de la ley no solo perjudican la funcionalidad y el uso de malware, sino que también imponen un costo para las amenazas a los actores al obligarlos a cambiar sus tácticas, causar desconfianza en el ecosistema penal y potencialmente hacer que los delincuentes piensen en encontrar una carrera diferente», dijo Selena Larson, un investigador de amenazas de personal a prueba de prueba.
«Estos éxitos contra los ciberdelincuentes solo se producen cuando los equipos de TI comerciales y los proveedores de servicios de seguridad comparten una visión muy necesaria de las mayores amenazas para la sociedad, afectando al mayor número de personas en todo el mundo, que la aplicación de la ley puede usar para rastrear los servidores, la infraestructura y las organizaciones penales detrás de los ataques privados y el sector público y la colaboración del sector público es criatural para saber cómo operar los actores y las acciones de las acciones».
 |
| Las características de Danabot promovidas en su sitio de soporte |
El DOJ revela cargos contra el líder de Qakbot
El desarrollo se produce cuando el Departamento de Justicia se revela contra un residente de Moscú de 48 años, Rustam Rafailevich Gallyamo, por liderar los esfuerzos para desarrollar y mantener el malware Qakbot, que fue interrumpido en una operación multinacional en agosto de 2023. La agencia también presentó una denuncia civil contra $ 24 millones en la criptenerada de la criptia de Gallyame por el curso de la inversión.
«Gallyamov desarrolló, desplegó y controló el malware Qakbot a partir de 2008», dijo el Departamento de Justicia. «A partir de 2019, Gallyamov supuestamente utilizó el malware Qakbot para infectar a miles de computadoras víctimas en todo el mundo para establecer una red, o ‘botnet’, de computadoras infectadas».
El Departamento de Justicia reveló que, después del derribo, Gallyamov y sus conspiradores continuaron sus actividades criminales cambiando a otras tácticas como ataques de «bomba de spam» para obtener acceso no autorizado a redes de víctimas y desplegar familias de ransomware como Black Basta y Cactus. Los documentos judiciales acusan al grupo de delitos electrónicos de participación en estos métodos en enero de 2025.
«La red BOT del Sr. Gallyamov fue paralizada por los talentosos hombres y mujeres del FBI y nuestros socios internacionales en 2023, pero continuó desplegando métodos alternativos para poner su malware a disposición de las pandillas cibernéticas criminales que llevan a cabo ataques de ransomware contra víctimas inocentes globalmente», dijo el director asistente al cargo de Akil Davis de la oficina de campo de Los Angeles del FBI.
