DLL Injection + Indirect Syscalls NTAPI
Extrae DLL embebida, escribe en disco e inyecta en procesos legítimos (explorer.exe, notepad.exe). Usa indirect syscalls para evadir hooks de EDR. Si falla, recurre a WinAPI.
→ PEB walk → syscall stub inside ntdll → call original
Sleep Obfuscation · Jitter Dinámico
NtDelayExecution + variación de tiempo (jitter). Durante la inactividad, protege memoria crítica con PAGE_NOACCESS y cifra datos sensibles, restaurando al despertar.
sleep_base = 60000 ± random(20000)
VirtualProtect(PAGE_NOACCESS); encrypt_region();
Anti-Sandbox Scoring System
Detección por procesos (vboxservice, vmtoolsd), hardware, memoria reducida, CPU cores, artefactos de registro y debuggers. Puntaje umbral: aborta silenciosamente.
if sandbox_score > THRESHOLD: TerminateProcess()
Dropper & Sideloading
Extrae artefactos ocultos, crea copias de DLLs legítimas para sideloading, limpia rastros y detecta entornos de análisis temprano.
Token Generator · Ofuscación de credenciales
Script Python que ofusca token de Telegram y chat ID en código Rust: capas de XOR, desplazamiento de caracteres, codificación hexadecimal, fragmentación.
python token_gen.py --token BOT_TOKEN --chat CHAT_ID → Rust obfuscated constants
Indirect Syscalls · Full PEB Walk
Localiza ntdll.dll mediante PEB, extrae números de syscall y redirige flujo hacia la instrucción syscall dentro de ntdll, sin imports estáticos.
NtAllocateVirtualMemory, NtWriteVirtualMemory, NtCreateThreadEx