Conoce a Anubis: el monstruo Python FIN7 se esconde en la RAM y evita todas las protecciones

El grupo cibercriminal FIN7, también conocido por los alias Carbon Spider, ELBRUS, Gold Niagara y otros, ha vuelto a mostrar actividad utilizando una herramienta llamada Anubis. No se trata del conocido troyano para Android, sino de un nuevo software malicioso en lenguaje Python, diseñado para el control remoto de sistemas Windows infectados.

Según señalan los investigadores de la empresa suiza PRODAFT, este software proporciona a los atacantes acceso a la línea de comandos y a operaciones clave del sistema, sometiendo prácticamente por completo el ordenador al control del atacante.

La propagación de Anubis se realiza a través de campañas maliciosas que utilizan sitios SharePoint comprometidos. A la víctima se le ofrece descargar un archivo ZIP que contiene un script en Python. Al ejecutarlo, el script descifra e inmediatamente ejecuta el módulo malicioso principal ofuscado en la memoria operativa. Este enfoque evita la escritura de componentes ejecutables en el disco, reduciendo así la probabilidad de detección.

Una vez activado, Anubis establece conexión con un servidor remoto a través de un socket TCP, intercambiando datos en formato Base64. Las respuestas del servidor también están codificadas, lo que dificulta su interceptación. El backdoor puede identificar la dirección IP del dispositivo, cargar y descargar archivos, cambiar el directorio de trabajo, obtener variables de entorno, modificar el registro del sistema, cargar bibliotecas DLL directamente en la memoria y, si es necesario, finalizar su propio funcionamiento.

Un análisis adicional, realizado por la empresa alemana GDATA, mostró que Anubis puede ejecutar comandos arbitrarios recibidos del operador. Esto permite lanzar keyloggers, tomar capturas de pantalla y robar contraseñas —y lo más notable es que estas herramientas no se almacenan en el dispositivo, sino que se ejecutan en tiempo real. Este enfoque permite mantener la modularidad pero reducir los riesgos de detección.

En los últimos años, FIN7 se ha transformado significativamente, pasando de ser un grupo cibercriminal tradicional a una estructura flexible que colabora con operadores de ransomware. Uno de los ejemplos de esta evolución fue la promoción de la herramienta AuKill en el verano de 2024 —una utilidad capaz de desactivar soluciones antivirus y herramientas de protección, facilitando así la instalación de otros componentes maliciosos.

La campaña actual con el uso de Anubis confirma la intención de FIN7 de seguir desarrollando su arsenal mediante una complejidad técnica creciente. Especialmente peligroso resulta el vector de ataque elegido: plataformas oficiales como SharePoint, que generan menos sospechas entre los usuarios. El uso de servicios legítimos para la entrega de código malicioso se está convirtiendo en una táctica cada vez más común en los delitos cibernéticos modernos.

La funcionalidad de Anubis indica su uso como herramienta universal de acceso, adecuada tanto para labores de reconocimiento como para el despliegue de componentes maliciosos adicionales. Gracias a su tamaño compacto y arquitectura bien diseñada, se integra fácilmente en distintos esquemas de ataque, desde intrusiones dirigidas hasta campañas masivas.

Los especialistas advierten que estos métodos pueden ser utilizados tanto en campañas a gran escala como en ataques contra empresas específicas. Como medidas de protección, se recomienda aumentar la vigilancia al trabajar con archivos corporativos, especialmente si se reciben a través de plataformas de terceros, y monitorizar regularmente las anomalías en la actividad de red.

Todo esto subraya una vez más la importancia de actualizar puntualmente las herramientas de protección, realizar auditorías internas de seguridad y capacitar a los empleados para identificar posibles amenazas. FIN7 sigue demostrando un alto nivel de coordinación y sofisticación tecnológica, lo que la convierte en una de las ciberamenazas activas más peligrosas.