El nuevo ChocoPoC RAT apunta a investigadores de vulnerabilidades a través de repositorios de exploits PoC falsos

Los atacantes esconden un troyano que roba datos dentro de un código de explotación falso dirigido a las personas que se ganan la vida cazando errores. El malware, llamado ChocoPoCviaja en repositorios de prueba de concepto (PoC) de Python en GitHub que afirman explotar nuevos CVE.

Ejecute uno y extraerá silenciosamente sus contraseñas guardadas, cookies del navegador y archivos, y luego le entregará al atacante un shell en su máquina. YesWeHack y Sekoia publicaron sus hallazgos conjuntos el 1 de julio y advirtieron que, a partir de ese informe, el malware y sus servidores todavía estaban activos, por lo que no ejecute ninguna de estas PoC.

El truco está en dónde se encuentra el código. El PoC visible parece limpio. El malware se esconde en un paquete de Python que el PoC incorpora como una dependencia, por lo que pasa desapercibido en una revisión rápida del código.

Cómo funciona la trampa

El cebo es la presión del tiempo. Cuando surge una falla importante, los investigadores se apresuran a probarla y a obtener PoC de la comunidad para actuar rápidamente. Esta campaña convierte ese hábito en una vía de infección.

Ciberseguridad

La cadena, en términos sencillos:

  1. Clona el repositorio y ejecuta pip install para obtener los requisitos de PoC.
  2. Eso atrae un paquete llamado frint, que a su vez arrastra un segundo paquete, skytext.
  3. skytext incluye un pequeño archivo compilado (gradient.so en Linux, gradient.pyd en Windows) que se ejecuta en el momento en que inicia el PoC.
  4. Solo se despierta cuando ve el PoC real cargado, busca un archivo llamado EXPLOIT_POC.py o similar, luego descomprime su carga útil y descarga el troyano.

Esa última comprobación es la razón por la que un sandbox simple no ve nada. Detona el paquete por sí solo, sin el PoC completo a su alrededor, y el malware permanece inactivo.

Lo que roba y hace

Una vez en ejecución, ChocoPoC es un troyano de acceso remoto completo. Extrae contraseñas guardadas, cookies, autocompletar e historial de Chrome, Brave, Edge y Firefox. Toma archivos de texto, notas y bases de datos locales, junto con el historial del shell, la configuración de red y la lista de procesos en ejecución.

El atacante también puede ejecutar cualquier comando de shell, ejecutar Python arbitrario, extraer carpetas enteras y ralentizar el malware para permanecer en silencio. Varios nombres de comandos están en español y el código contiene pequeños errores, que los investigadores interpretan como escritos a mano en lugar de generados por IA.

Para controlarlo, el malware se esconde a simple vista. Lee sus órdenes de un conjunto de datos en Mapbox, un servicio de mapas normal, y lo utiliza como punto muerto. Resuelve esa dirección a través de DNS sobre HTTPS y utiliza un truco de dominio frontal, por lo que el tráfico parece llamadas API de Mapbox normales. Las cargas más grandes van a un servidor separado en 91.132.163.78.

¿Hasta dónde se ha extendido?

YesWeHack y Sekoia encontraron al menos siete repositorios PoC falsos, cada uno vinculado a una falla de alto perfil:

  • Recorrido de ruta FortiWeb (CVE-2025-64446)
  • React2Shell (CVE-2025-55182)
  • MongoBleed (CVE-2025-14847)
  • Omisión de autenticación PAN-OS (CVE-2026-0257)
  • Inyección de comando Ivanti Sentry (CVE-2026-10520)
  • Omisión de autenticación de VPN de Check Point (CVE-2026-50751)
  • Generador de páginas Joomla SP RCE (CVE-2026-48908)

Solo el paquete skytext se descargó unas 2.400 veces, principalmente en Linux. Las descargas no prueban que alguien estuviera infectado, pero aumentaron justo después de que los principales CVE se hicieran públicos, lo que encaja con el atractivo.

Una ejecución anterior de la misma campaña, que se remonta a finales de 2025, utilizó otros dos paquetes, slogsec y logcrypt.cryptography, con un código casi idéntico. Sekoia evalúa con alta confianza que un actor está detrás de ambos, basándose en marcadores de control reutilizados.

Dice que el operador rotó cuentas de GitHub, PyPI y Mapbox, varias de ellas creadas a partir de inicios de sesión filtrados o robados. No se ha nombrado ningún grupo conocido.

Los investigadores de seguridad son un objetivo rico. Ejecutan código no confiable por diseño, a menudo con altos privilegios, y sus máquinas contienen credenciales de clientes, informes privados y detalles de interacciones en vivo. Si compromete uno, podrá llegar mucho más allá de una sola computadora portátil.

La campaña MUT-1244 mostró la recompensa, utilizando repositorios PoC falsos para robar claves SSH y credenciales de nube de investigadores y equipos rojos.

Ciberseguridad

Esta no es una idea nueva, sólo un nuevo envoltorio. El grupo Lazarus de Corea del Norte ha cortejado a investigadores durante años, hacerse pasar por compañeros cazadores de errores y enviar proyectos maliciosos de Visual Studio en 2021y luego les quemará un día cero en 2023, con nuevas oleadas desde entonces.

En lo que respecta a los delitos contra las materias primas, Trend Micro encontró un PoC falso para una falla LDAP de Windows (CVE-2024-49113) que robó datos del investigador a principios de 2025, y una campaña separada impulsó PoC CVE falsos que llevaban un troyano llamado WebRAT a finales de 2025, afectando principalmente a estudiantes y evaluadores junior.

Lo que añade ChocoPoC es el escondite. El malware vive en una dependencia, por lo que la prueba de concepto que lees permanece limpia. Como lo expresaron los investigadores, el malware en sí es una noticia vieja, pero «lo que está cambiando es el mecanismo de entrega».

Que hacer ahora

  • Trate cualquier PoC como hostil hasta que se demuestre lo contrario y manténgase alejado del código de cuentas nuevas o desconocidas.
  • Lea la cadena de dependencia completa, no solo el archivo PoC. Esté atento a paquetes recién publicados, mantenedores desconocidos y cuentas con historial oculto.
  • Pruebe solo en una máquina virtual desechable, pero recuerde que el aislamiento por sí solo no activará esta. La verdadera solución es no instalar ningún paquete.
  • Verifique sus sistemas en busca de frint, skytext, slogsec y logcrypt.cryptography, además de los hashes de archivos en el informe. Si ejecutó alguno de ellos, rote las credenciales y reconstruya el host.

El mayor riesgo está aguas abajo. Estos señuelos se dirigen a los investigadores que proporcionan detecciones y PoC a marcos como Nuclei y MDUT. Sekoia señala el peligro de un doble impacto en la cadena de suministro: si se envenena a un investigador, el código incorrecto puede trasladarse a un marco en el que confían miles de personas más.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *