Los analistas de seguridad cibernética de ESET han publicado una mirada en profundidad al funcionamiento interno de la operación RedLine Stealer y su clon, conocido como Meta, a raíz de una operación liderada por los holandeses que vio al imperio cibercriminal derribado.
En la Operación Magnus, la Policía Nacional Holandesa, en colaboración con el apoyo de la Unión Europea y otras agencias, incluido el FBI y la Agencia Nacional contra el Crimen (NCA) del Reino Unido, desmanteló la infraestructura de los infames ladrones de información.
La acción fue la culminación de una larga investigación en la que ESET, que inicialmente notificó a las autoridades de los Países Bajos que parte de la infraestructura del malware estaba alojada en su jurisdicción, fue un contribuyente clave, participando el año pasado en una operación preliminar dirigida a la capacidad de la pandilla para utilizar repositorios de GitHub como mecanismo de control de “caída muerta”.
En un extenso expediente, ESET dijo que después de haber realizado un análisis exhaustivo del código fuente de los malwares y de la infraestructura backend en el período previo a la Operación Magnus, ahora pudo confirmar con certeza que tanto Redline como Meta efectivamente compartían el mismo creador. e identificó más de 1.000 direcciones IP únicas que se habían utilizado para controlar la operación.
“Pudimos identificar más de 1000 direcciones IP únicas utilizadas para alojar los paneles de control RedLine”, dijo el investigador de ESET Alexandre Côté Cyr.
“Si bien puede haber cierta superposición, esto sugiere que alrededor de 1.000 suscriptores de RedLine MaaS [malware as a service]”, añadió.
“Las versiones 2023 de RedLine Stealer ESET investigadas en detalle utilizaron el marco de comunicación de Windows para la comunicación entre los componentes, mientras que la última versión de 2024 utiliza una API REST”.
Operación global
Las direcciones IP encontradas por ESET estaban dispersas a nivel mundial, aunque principalmente en Alemania, Países Bajos y Rusia, representando alrededor del 20% del total. Aproximadamente el 10% estaban ubicados en Finlandia y Estados Unidos.
La investigación de ESET también identificó múltiples servidores backend distintos, con aproximadamente el 33% en Rusia, y Chequia, los Países Bajos y el Reino Unido representan alrededor del 15%.
¿Qué era RedLine Stealer?
En última instancia, el objetivo de las operaciones de RedLine y Meta era recolectar grandes cantidades de datos de sus víctimas, incluida información sobre billeteras de criptomonedas, detalles de tarjetas de crédito, credenciales guardadas y datos de plataformas que incluyen VPN de escritorio, Discord, Telegram y Steam.
Los clientes de los operadores compraron acceso al producto, descrito por ESET en términos corporativos como una “solución de robo de información llave en mano”, a través de varios foros en línea o canales de Telegram. Podían seleccionar una suscripción mensual o una licencia de por vida y, a cambio de su dinero, recibían un panel de control para generar muestras de malware y actuar como un servidor personal de comando y control.
“El uso de una solución ya preparada facilita a los afiliados la integración de RedLine Stealer en campañas más grandes”, afirmó Côté Cyr. “Algunos ejemplos notables incluyen hacerse pasar por descargas gratuitas de ChatGPT en 2023 y hacerse pasar por trampas de videojuegos en la primera mitad de 2024”.
En su apogeo, antes de la caída, RedLine era probablemente el ladrón de información más extendido en funcionamiento, con un número comparativamente grande de afiliados. Sin embargo, dijo ESET, la empresa MaaS probablemente fue orquestada por un número muy pequeño de personas.
Lo más importante es que el creador del malware, Maxim Rudometov, ha sido identificado y acusado en Estados Unidos.