- 01flip es un ransomware escrito en Rust, multiplataforma y usado en ataques dirigidos contra infraestructuras críticas en Asia-Pacífico.
- Los atacantes explotan vulnerabilidades antiguas en servicios expuestos, usan Sliver para post-explotación y despliegan 01flip manualmente.
- El malware cifra archivos con AES-128-CBC y RSA-2048, aplica una extensión .01flip específica y elimina evidencias tras el ataque.
- La defensa pasa por parcheo prioritario, EDR en Windows y Linux, control de credenciales y detección de comportamientos previos al cifrado.
El ransomware 01flip se ha convertido en uno de los ejemplos más claros de cómo los ciberdelincuentes están adoptando lenguajes modernos y tácticas cada vez más refinadas. Aunque de momento su actividad parece limitada, el hecho de que haya impactado a organizaciones de infraestructuras críticas en la región Asia-Pacífico ha hecho que muchos equipos de ciberseguridad le pongan la lupa encima.
Hablamos de una amenaza multiplataforma, escrita íntegramente en Rust, que combina buenas prácticas de desarrollo de software con técnicas de evasión sencillas pero efectivas. Además, se apoya en marcos de post-explotación como Sliver y en vulnerabilidades antiguas expuestas a internet, lo que deja claro que no estamos ante un ataque masivo y automático, sino ante operaciones muy dirigidas y con bastante trabajo manual detrás.
¿Qué es 01flip ransomware y por qué es relevante?
01flip es una familia de ransomware de nueva generación observada por primera vez alrededor de junio de 2025 en un número reducido de víctimas de la región de Asia-Pacífico, especialmente en el sudeste asiático. Destaca porque está desarrollada completamente en Rust, un lenguaje de programación moderno conocido por su seguridad de memoria, rendimiento y capacidad de compilación cruzada.
Los investigadores de distintas firmas de seguridad han vinculado estos incidentes a un cluster de actividad criminal etiquetado como CL-CRI-1036. Todo apunta a un grupo con motivación puramente económica, que lleva a cabo sus intrusiones de forma manual y muy dirigida, centrándose en organizaciones con infraestructuras críticas.
Este ransomware está diseñado para funcionar tanto en Windows como en Linux, aprovechando precisamente la facilidad de compilación cruzada que ofrece Rust. Eso permite a los atacantes mantener una base de código prácticamente única y generar binarios para arquitecturas diferentes con cambios mínimos.
El nombre 01flip proviene de dos indicadores muy visibles durante los incidentes: la extensión de archivo .01flip, que se añade a los ficheros cifrados, y la dirección de correo usada en las notas de rescate, 01Flip@protonme. Estos elementos aparecen de forma consistente en las víctimas conocidas y se han convertido en la marca distintiva de esta familia.
Tras el despliegue del ransomware en al menos una organización, se detectó un supuesto filtrado de datos en foros de la dark web. Aunque no se pudo verificar al 100 % la autenticidad de toda la información publicada, la reacción de otros usuarios y la coincidencia temporal con el ataque apuntan a que el incidente es real y que los atacantes también podrían monetizar el acceso o los datos robados.
Contexto y primeras investigaciones
Los analistas comenzaron a fijarse en 01flip cuando un ejecutable sospechoso para Windows fue enviado a plataformas de análisis automatizado. El binario se comportaba como un ransomware clásico, pero su estructura y sus dependencias revelaban que estaba compilado desde código Rust, algo todavía relativamente poco frecuente en comparación con el malware escrito en C/C++.
Al profundizar en el análisis, los investigadores identificaron que no se trataba de una variante de una familia conocida, sino de un ransomware nuevo. Poco después, apareció también un ejecutable para Linux asociado a los mismos atacantes. Llamó especialmente la atención que este binario de Linux estuviera durante meses con cero detecciones en VirusTotal, lo que demuestra tanto la novedad del código como la falta de firmas o reglas específicas en muchos motores de seguridad.
Herramientas de análisis específicas para Rust, como rustbininfo, permitieron comparar las dependencias (crates) usadas en las versiones de Windows y Linux. El resultado mostró que, salvo por algunas librerías específicas de cada arquitectura, la versión de Rust, el commit y la mayor parte de las librerías coincidían. Es decir, estamos ante un mismo proyecto compilado para varias plataformas con pequeñas variaciones.
Aunque Rust puede generar binarios con ensamblador más complejo que el de C/C++, dificultando la ingeniería inversa, lo cierto es que las capacidades de 01flip son bastante directas: cifrado de archivos, notas de rescate, cierto grado de evasión y borrado de huellas. Es decir, su “core” es sencillo, pero está envuelto en una implementación moderna y multiplataforma.
Victimología y patrones de ataque observados
Hasta el momento, el número de víctimas documentadas es reducido, pero incluye organizaciones de infraestructuras críticas en el sudeste asiático. Esto no parece un experimento sin importancia: aunque el alcance sea limitado, el tipo de objetivo muestra una intención clara de causar daño e impacto.
En foros de seguridad se ha identificado al menos una publicación de una supuesta víctima indicando que su servidor Zimbra (una solución de correo empresarial muy popular) había sido comprometido y posteriormente cifrado con 01flip. Zimbra ya ha sido objetivo de múltiples actores en el pasado, precisamente por ser una pieza crítica y estar a menudo expuesta a internet.
Por la información disponible, se cree que el uso de este ransomware está aún en una fase temprana de despliegue. Sin embargo, en publicaciones de la dark web asociadas al mismo grupo se menciona a víctimas en Filipinas y Taiwán, lo que hace pensar que podría haber más afectados de los que se han hecho públicos.
Los mensajes en foros clandestinos hablan de datos en venta y accesos a redes comprometidas. Aunque 01flip en sí no incluye funciones de exfiltración de información, parece que los atacantes combinan el cifrado con el uso de otras herramientas o la venta posterior de credenciales y accesos obtenidos durante la intrusión.
Otro detalle interesante es que uno de los usuarios que publica sobre estas filtraciones mantiene un perfil de habla rusa en un foro conocido (XSS) desde 2020, donde ya habría ofrecido datos robados y accesos de red. Esto no confirma por sí mismo la nacionalidad del grupo, pero aporta contexto sobre su historial criminal y su experiencia en el ecosistema de la ciberdelincuencia.
Vector de entrada: vulnerabilidades antiguas y servicios expuestos
El análisis de los incidentes de CL-CRI-1036 sugiere que los atacantes comenzaron sus intentos de explotación en abril de 2025, centrándose en aplicaciones expuestas a internet con vulnerabilidades ya conocidas, entre ellas CVE-2019-11580, relacionada con Atlassian Crowd Server.
Durante varias semanas se observaron intentos de explotación contra estos servicios, lo que indica una fase de reconocimiento externo y prueba de vectores. No está del todo claro qué vulnerabilidad o combinación de fallos les dio finalmente acceso inicial a la red, pero sí se sabe que lograron entrar y establecer persistencia.
Una vez dentro, los atacantes desplegaron una versión para Linux de Sliver, un framework de adversary emulation y post-explotación escrito en Go, de uso legítimo en ejercicios de red teaming, pero muy atractivo también para actores maliciosos por su flexibilidad y potencia.
Con Sliver como herramienta principal, los intrusos llevaron a cabo actividades clásicas de post-explotación: reconocimiento interno, robo de credenciales y mapeo exhaustivo del entorno. El estilo de la operación mostraba claramente un enfoque “hands-on-keyboard”: acciones manuales, pasos encadenados y una planificación cuidadosa, lejos de los escaneos automáticos a gran escala.
Hacia finales de mayo de 2025, se observó que el grupo había realizado movimientos laterales hacia otras máquinas Linux mediante la descarga de nuevos implantes de Sliver, en concreto beacons configurados como TCP Pivot, que les permitían usar esos hosts como puntos de salto y túnel hacia otros sistemas internos.
Aproximadamente una semana después de estos movimientos laterales, los atacantes distribuyeron múltiples binarios de 01flip en la red de la víctima, tanto para Windows como para Linux, lo que marca el paso definitivo de la fase de intrusión y preparación a la fase de cifrado y monetización.
Funcionamiento interno de 01flip ransomware
El código de 01flip no está fuertemente ofuscado ni empaquetado, lo que facilita en parte su análisis estático frente a otras familias que usan packers o cadenas de cifrado muy complejas. Aun así, el hecho de estar desarrollado en Rust, y la propia naturaleza de los binarios generados por este compilador, añade una capa de complejidad en la ingeniería inversa respecto a malware tradicional.
Entre las funcionalidades principales del ransomware destacan varias tareas básicas, presentes en la mayoría de amenazas de este tipo, pero adaptadas a su contexto multiplataforma. Por ejemplo, la capacidad de enumerar todas las unidades disponibles en sistemas Windows, desde la A: hasta la Z:, para localizar la mayor cantidad posible de datos accesibles.
En cada carpeta donde tenga permisos de escritura, 01flip deja una nota de rescate con el nombre RECOVER-YOUR-FILE.TXT. El objetivo es que el usuario se encuentre el mensaje de los atacantes prácticamente en cualquier directorio al que acceda, y no solo en las rutas más habituales.
A la hora de cifrar, el malware aplica un renombrado concreto a los ficheros afectados: toma el nombre original y le añade un identificador único, un valor 0 o 1 y la extensión .01flip. El patrón es <ORIGINAL_FILENAME>.<UNIQUE_ID>.<0 o 1>.01flip. Esta nomenclatura ayuda a los atacantes a rastrear víctimas e infecciones, y es una señal muy clara de que se trata de esta familia.
El proceso de cifrado se basa en una combinación de AES-128 en modo CBC y RSA-2048. AES se encarga de cifrar el contenido real de los archivos, mientras que la clave de sesión usada en cada caso se protege con una clave pública RSA incrustada en el binario. Sin la clave privada correspondiente (controlada por los atacantes), recuperar los datos es prácticamente inviable mediante fuerza bruta.
Cuando el cifrado finaliza, el propio ransomware intenta borrar sus huellas y eliminar el ejecutable que lo contiene, de manera que se dificulte su recuperación para análisis o para restaurar el sistema a un estado anterior usando copias temporales.
Técnicas de evasión y mecanismos anti-análisis
Un rasgo distintivo de 01flip es su preferencia por el uso de APIs nativas y llamadas de sistema de bajo nivel tanto en Windows como en Linux. Al comportarse de una forma muy parecida a procesos legítimos del sistema operativo, algunos mecanismos de seguridad basados en comportamiento pueden tardar más en marcar la actividad como anómala.
Además, la mayoría de las cadenas de texto definidas por el desarrollador (contenido de la nota de rescate, nombre del archivo de la nota, lista de extensiones, clave RSA pública, etc.) se almacenan codificadas y se descifran en tiempo de ejecución. Para ello emplean un algoritmo muy sencillo que realiza una resta (SUB) cada dos bytes de los datos codificados para reconstruir el texto original.
Dependiendo de la longitud de la cadena, estos datos codificados aparecen incrustados en la sección .text o .data del ejecutable. El flujo de ejecución incluye rutinas específicas para ir descifrando, por ejemplo, la plantilla completa del mensaje de rescate justo antes de escribirla en los directorios afectados.
En la práctica, estas tácticas de ofuscación ligera y uso de llamadas nativas no bastan por sí solas para hacer que 01flip sea invisible. En entornos de sandbox modernos, el comportamiento de cifrado masivo y renombrado de archivos sigue siendo lo bastante ruidoso como para ser detectado, aunque sí puede ayudar a retrasar la detección por parte de motores puramente estáticos.
Algunas muestras incorporan también un mecanismo anti-sandbox muy básico: si el nombre del archivo ejecutable contiene la cadena “01flip”, el malware salta directamente a la fase de limpieza de indicadores sin llevar a cabo el cifrado. Es una forma sencilla de evitar que analistas que renombren manualmente el archivo con ese identificador vean el comportamiento real del ransomware.
Proceso de cifrado, exclusiones y borrado de indicios
Antes de empezar a cifrar, 01flip se asegura de que haya una nota de rescate visible en todos los directorios donde vaya a operar. En esa nota se incluyen las instrucciones de contacto (normalmente por correo seguro o canal privado de mensajería) y datos relacionados con la clave o identificador necesarios para negociar con los atacantes.
El ransomware mantiene una lista de extensiones excluidas que no cifrará, con el objetivo de no dejar el sistema completamente inutilizable y garantizar que siga siendo operativo para el pago del rescate. En esa lista figuran extensiones de ejecutables y componentes del sistema (.exe, .dll, .sys, .so, .bin, .msi, .ocx, .nls, etc.), archivos de configuración críticos (.ini, .reg), elementos de interfaz (.ico, .cur, .deskthemepack, .theme, .themepack), ficheros temporales o de caché (.tmp, .sfcache, .part, .nomedia), fuentes (.ttf, .otf, .fon, .fnt, .woff) o formatos multimedia comunes (.mp3, .mp4, .wav, .wma), entre muchos otros.
Llaman especialmente la atención algunas extensiones como encrypt, lock y lockbit. La presencia de “lockbit” como exclusión ha hecho pensar a los analistas en una posible relación o, al menos, en cierto respeto técnico hacia otros operadores, evitando cifrar archivos previamente marcados por LockBit u otros ransomware. No obstante, más allá de este detalle, no se han encontrado evidencias técnicas claras de conexión directa entre ambos grupos.
Completado el cifrado, la prioridad de 01flip es borrar cualquier evidencia de sí mismo. En Windows ejecuta un comando que combina un ping a 127.0.0.7 para introducir un retardo, seguido del uso de fsutil para sobrescribir el propio archivo con ceros y, finalmente, un borrado forzado con Del /f /q. Todo ello redirigiendo la salida a NUL para no dejar rastro en consola.
En Linux la lógica es similar: tras un breve sleep, el binario ejecuta un dd desde /dev/urandom sobrescribiendo su propio fichero con unos cuantos megabytes de datos aleatorios y, a continuación, lo elimina con rm. De nuevo, todo lo posible para que no quede una copia recuperable con técnicas forenses sencillas.
Demandas económicas y posible atribución
En los casos analizados, los operadores de 01flip han solicitado un bitcoin (1 BTC) como pago del rescate para proporcionar la clave de descifrado. La comunicación se realiza a través de correo seguro o mediante canales privados de mensajería, evitando, de momento, la típica infraestructura de portales de fuga de datos que usan muchas operaciones de ransomware-as-a-service.
Hasta la fecha, no se ha observado que CL-CRI-1036 mantenga un sitio de doble extorsión público donde exponer los datos de las víctimas que no pagan. En su lugar, la filtración de información y la venta de accesos parecen gestionarse a través de foros clandestinos bien conocidos en la dark web.
El supuesto filtrado de datos publicado el día después de un ataque concreto encaja temporalmente con la ejecución de 01flip. Aunque los investigadores no han podido verificar al detalle todos los archivos expuestos, el contexto del foro y las reacciones positivas de otros usuarios hacen pensar que el material es legítimo.
El usuario responsable de varias de estas publicaciones tiene un historial de actividad moderado pero consistente desde 2023 en algunos foros, y su nick coincide con el de un vendedor de datos de habla rusa activo desde 2020 en XSS. Esto no basta para una atribución firme, pero sí es una pista clara de que el grupo está ligado al ecosistema criminal ruso parlante que ya lleva tiempo comerciando con accesos y bases de datos robadas.
Como ya se ha comentado, la extensión “lockbit” incluida en la lista de exclusiones ha levantado sospechas sobre una posible conexión con esa conocida familia de ransomware. Sin embargo, los analistas no han identificado similitudes estructurales, de código o de infraestructura que permitan afirmar una relación directa. Podría ser simplemente un guiño, una precaución para no interferir con otras operaciones o incluso un intento deliberado de confundir a los investigadores.
Cómo mitigar el riesgo de 01flip y ransomware multiplataforma
Las campañas como 01flip dejan muy claro que los grupos de ransomware más avanzados ya no se conforman con atacar solo Windows ni con lanzar campañas indiscriminadas. Prefieren intrusiones dirigidas, con movimiento lateral, uso de marcos de post-explotación y despliegue manual del ransomware en los sistemas más críticos.
Para reducir el riesgo, el primer paso es minimizar al máximo las superficies de ataque expuestas a internet. Esto incluye parchear con prioridad las vulnerabilidades explotadas de forma habitual (como CVE-2019-11580 en Atlassian Crowd Server) y limitar el número de servicios accesibles desde el exterior, especialmente paneles de administración y soluciones de correo o colaboración.
La detección temprana de marcos como Sliver es clave. Las organizaciones deberían monitorizar patrones de C2 anómalos, actividad de beacons y comportamientos típicos de post-explotación, desde la enumeración de dominios y grupos hasta el uso de herramientas de volcado de credenciales o escaneo interno agresivo.
Es fundamental contar con capacidades de EDR o XDR tanto en Windows como en Linux. Muchas empresas tienen una buena visibilidad en estaciones de trabajo Windows, pero infraestructuras críticas, servidores y entornos de producción basados en Linux siguen estando menos monitorizados, lo que da a actores como CL-CRI-1036 un margen enorme para moverse sin ser detectados.
En el ámbito de la identidad, conviene reforzar el uso de autenticación multifactor, la reducción de privilegios administrativos y el seguimiento de intentos de escalada y uso indebido de cuentas de alto nivel. Cuantas menos cuentas con privilegios amplios existan y mejor estén vigiladas, más complicado será para el atacante pivotar y llegar a los sistemas clave.
La segmentación de red y el control del tráfico este-oeste también juegan un papel importante. Limitar el uso de herramientas de administración remota, aplicar reglas de firewall internas estrictas y crear una lista negra o blanca de un programa en Windows 10 y registrar los accesos laterales puede marcar la diferencia entre un incidente contenido y una propagación masiva del ransomware.
Por último, conviene desplegar controles capaces de detectar comportamientos previos al cifrado: enumeración masiva de archivos, creación simultánea de notas de rescate, aparición de binarios escritos en Rust fuera de contexto o picos inusuales de operaciones de renombrado y escritura de disco con extensiones como .01flip.
Todo esto debe complementarse con una estrategia sólida de copias de seguridad inmutables, pruebas regulares de restauración y planes de respuesta que contemplen escenarios de ransomware multiplataforma. Tener backups no sirve de mucho si no se han probado los tiempos de recuperación o si los propios atacantes pueden cifrarlos o borrarlos durante la intrusión.
En un panorama donde los atacantes se mueven con soltura entre Windows y Linux, adoptan lenguajes modernos como Rust y combinan cifrado con posibles filtraciones de datos, 01flip es un ejemplo perfecto de esa evolución: una amenaza todavía de alcance limitado, pero con técnicas actuales, diseño multiplataforma y un claro enfoque en intrusiones dirigidas que obliga a las organizaciones a elevar el nivel de visibilidad, parcheo y respuesta en todos sus entornos, sin confiarse en defensas heredadas ni en la idea de que “en Linux no pasan estas cosas”.
