El 28 de octubre de 2024, la Policía Nacional de los Países Bajos, en colaboración con el FBI, Eurojust y varias otras agencias de seguridad, llevó a cabo una operación internacional denominada «Operación Magnus», que resultó en el desmantelamiento del conocido malware RedLine Stealer y su clon META Stealer. En esta operación, se desactivaron tres servidores en los Países Bajos, se incautaron dos dominios y se detuvo a dos individuos en Bélgica. Además, se desclasificaron cargos contra un presunto autor en Estados Unidos.
RedLine Stealer, que se descubrió en 2020, opera bajo el modelo de «malware como servicio» (MaaS), lo que permite a los clientes, conocidos como afiliados, adquirir soluciones listas para robar información a través de foros en línea y canales de Telegram. Estos afiliados pueden optar por una suscripción mensual o una licencia de por vida, obteniendo acceso a un panel de control que les permite generar muestras de malware y gestionar sus campañas.
Antes de esta operación, en abril de 2023, investigadores de ESET colaboraron con la fuerza policial para interrumpir en parte la operación de RedLine, eliminando varios repositorios de GitHub utilizados como resolutores de caída. Durante esta investigación, se analizaron módulos no documentados previamente que manejan la autenticación y funcionalidad del panel de control del malware.
Ahora que RedLine ha sido desactivado, los investigadores han hecho públicos los hallazgos de sus investigaciones de 2023, así como descubrimientos más recientes basados en el código fuente y muestras proporcionadas por la Policía Nacional de los Países Bajos. Aunque la operación se detuvo formalmente, se advierte que aún circulan copias antiguas del malware que podrían seguir siendo operativas, lo que lleva a describir la actividad de RedLine como continua.
Los investigadores de ESET identificaron más de 1,000 direcciones IP únicas utilizadas para alojar paneles de control de RedLine. Las versiones analizadas en 2023 empleaban el marco de trabajo de Comunicación de Windows (WCF) para la comunicación entre componentes, mientras que las últimas versiones de 2024 han cambiado a una API REST.
Entre los hallazgos, se notó que RedLine y META Stealer comparten al mismo creador, lo que refuerza la conexión entre ambos malware. Esta actividad es indicativa de una operación bien estructurada que ha logrado evadir la detección durante un largo periodo.
Fuente: WeLiveSecurity by eSet.
