Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Sakula

¿Qué es?

Sakula, también conocido como Sakula RAT y Sakurel, es un malware de tipo troyano de acceso remoto (RAT) que se enfoca en infectar dispositivos Windows para controlarlos remotamente y realizar actividades maliciosas. Se conoce por su uso en ataques dirigidos a sectores gubernamentales, industriales y tecnológicos, con el objetivo de obtener acceso persistente y robar información confidencial. Además, este malware proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

  • Modifica entradas del registro y utiliza técnicas avanzadas para obtener persistencia y mantenerse activo tras reinicios del sistema.
  • Permite a los atacantes establecer una puerta trasera (backdoor) para el control remoto total.
  • Ejecuta comandos arbitrarios.
  • Roba archivos, credenciales y otros datos sensibles de los sistemas afectados.
  • Se comunica con servidores de mando y control (C2) mediante el uso de técnicas de cifrado para evitar la detección.
  • Puede camuflarse como software legítimo y ejecutar código malicioso de forma sigilosa.
  • Inyecta código malicioso en procesos legítimos para ocultar su presencia y evadir herramientas de detección.
  • Utiliza técnicas como ofuscación de código, carga dinámica de librerías y cifrado de comunicaciones para evitar ser identificado por las soluciones de seguridad.
  • Puede descargar otros módulos maliciosos o malware complementario desde servidores C2.
  • Recolecta información detallada (nombre del equipo, red, versiones de software, privilegios del usuario, etc.) para ayudar a los atacantes a perfilar su víctima y adaptar el ataque.
  • Analiza la red interna para identificar otros sistemas vulnerables y propagarse lateralmente, en ocasiones aprovechando credenciales robadas.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Microsoft Windows (sobre todo, de entornos empresariales y gubernamentales).

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la visita a sitios web comprometidos o falsos especialmente diseñados para instalarse en los sistemas sin el conocimiento de los usuarios, a través de la explotación de vulnerabilidades en navegadores o complementos (como Internet Explorer y Adobe Flash), a través de campañas de spear-phishing con documentos maliciosos adjuntos o enlaces a archivos infectados y a través de la suplantación de software legítimo para engañar al usuario y ejecutarse.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales