Una campaña activa está empleando sitios web que imitan de forma casi clavada a marcas de software legítimas para atrapar a usuarios de habla china y entregar un nuevo troyano de acceso remoto denominado AtlasCross RAT. La investigación, divulgada por una firma de ciberseguridad con base en Alemania, muestra cómo los atacantes han preparado señuelos que simulan clientes VPN, mensajeros cifrados, herramientas de videoconferencia, rastreadores de criptomonedas y plataformas de comercio electrónico para inducir a la descarga de instaladores comprometidos.
El vector de infección es sencillo en su aparente inocencia pero sofisticado en su ejecución: la víctima llega a una web falsificada, descarga un archivo ZIP que contiene un instalador trojanizado junto con la aplicación legítima a modo de señuelo, y ejecuta el instalador creyendo que es confiable. Ese instalador malicioso, que imita un binario de Autodesk, carga un cargador de shellcode que desencripta una configuración incrustada heredera del protocolo Gh0st para extraer la información del servidor de mando y control (C2). A continuación se recupera una segunda etapa desde un servidor remoto —informes indican una descarga desde bifa668[.]com por el puerto TCP 9899— y el nuevo RAT acaba ejecutándose únicamente en memoria, reduciendo su huella en disco.
Un dato llamativo que apunta a una operación planificada es que la mayor parte de los dominios fraudulentos utilizados como señuelo fueron registrados en un mismo día a finales de octubre de 2025. Entre los ejemplos que se han identificado figuran imitaciones de Zoom, Signal, Telegram, Surfshark, Microsoft Teams, Trezor y otras aplicaciones que inspiran confianza en usuarios técnicos y no técnicos por igual.
Los paquetes instaladores analizados compartían algo más que el mismo modo de engaño: todos estaban firmados con un certificado de firma de código de Validación Extendida emitido a una entidad vietnamita. El uso repetido de ese certificado en campañas no relacionadas sugiere que en el ecosistema delictivo circulan certificados legítimos robados o revendidos para dar apariencia de legalidad a cargas maliciosas y eludir controles de seguridad que confían en la firma digital.
En términos técnicos, AtlasCross incorpora una serie de mejoras notables respecto a herramientas previas ligadas a la misma familia de actores. Integra el llamado PowerChell, un motor nativo en C/C++ diseñado para ejecutar PowerShell al hospedar el CLR de .NET dentro del propio proceso del malware, permitiendo ejecutar comandos con potentes capacidades. Antes de lanzar cualquier instrucción, el implantado aplica múltiples técnicas para neutralizar detecciones: desactiva la interfaz de antimalware (AMSI), bloquea el registro de eventos de seguimiento (ETW), y evita las restricciones de lenguaje que suelen limitar scripts maliciosos. Para quien quiera profundizar en estos mecanismos, la documentación de Microsoft sobre AMSI y telemetría es una referencia útil: https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface.
La comunicación con los servidores C2 también está diseñada para reducir la posibilidad de inspección: el tráfico entre víctima y control se cifra mediante ChaCha20 usando claves aleatorias por paquete generadas a partir de un generador de números aleatorios de hardware. Para quienes quieran saber más sobre ChaCha20, la especificación oficial del IETF es una fuente técnica sólida: https://datatracker.ietf.org/doc/html/rfc8439.
Funcionalmente, AtlasCross no es un simple backdoor: ofrece inyección dirigida de DLL en aplicaciones locales como WeChat, capacidades para secuestrar sesiones RDP, y rutinas que activamente terminan conexiones TCP originadas por productos de seguridad populares en China (por ejemplo, 360 Safe, Huorong, Kingsoft y QQ PC Manager) en lugar de recurrir a tácticas de drivers vulnerables. También facilita operaciones básicas de archivo y shell y puede lograr persistencia creando tareas programadas. Esta combinación de técnicas indica una evolución marcada respecto a las variantes basadas en Gh0st RAT que el actor ha usado con anterioridad.
La atribución de la operación recae en un actor conocido en la industria como Silver Fox, que aparece bajo múltiples alias en distintos informes (entre ellos SwimSnake y otros nombres). Varias empresas de seguridad que han observado la actividad describen a este grupo como muy activo y con una estrategia adaptable: mantiene campañas amplias y oportunistas a la vez que ejecuta operaciones más dirigidas y estratégicas contra personal de finanzas y gestión, empleando vectores como mensajería instantánea (WeChat, QQ), correos de phishing y sitios de herramientas falsas. Los análisis de compañías especializadas en la región coinciden en que la táctica central del grupo consiste en crear dominios que imitan fielmente a los oficiales y añadir detalles regionales para reducir las sospechas de la víctima; técnicas como el typo-squatting, el secuestro de nombres de dominio y la manipulación de DNS son parte del repertorio. Para contexto sobre este tipo de amenazas y la labor de los analistas, conviene consultar textos técnicos y análisis de actores relevantes en la industria, por ejemplo los informes de seguridad de KnownSec 404: https://404.knownsec.com/ y de Sekoia sobre tácticas y amenazas emergentes: https://www.sekoia.io/en/insights/.
Históricamente, el grupo ha reutilizado y actualizado herramientas de la familia Gh0st, y su arsenal ha pasado por entregas mediante PDFs maliciosos, abusos de soluciones de gestión remota legítimas mal configuradas, hasta versiones de troyanos en Python que se hacen pasar por aplicaciones populares. Esta flexibilidad operacional le permite tanto correr campañas masivas en busca de beneficios como mantener accesos prolongados para operaciones más calculadas. Otros actores y proveedores han documentado campañas relacionadas; para una perspectiva adicional sobre tácticas y campañas relacionadas, los blogs de respuesta a incidentes y de fabricantes antivirales como ESET y eSentire ofrecen análisis y ejemplos: https://www.welivesecurity.com/ y https://www.esentire.com/blog.
¿Qué pueden hacer los usuarios y las organizaciones para minimizar el riesgo? En primer lugar, desconfiar de descargas fuera de los canales oficiales: obtener software desde las webs y repositorios verificados es la defensa más básica. Revisar los detalles del certificado digital antes de ejecutar instaladores puede ayudar, aunque cuando los certificados han sido comprometidos esa verificación deja de ser infalible. Mantener el software de seguridad y del sistema actualizado, limitar la ejecución de ejecutables desde ubicaciones temporales, y educar a los equipos sobre los riesgos del typo-squatting y de herramientas descargadas desde enlaces compartidos en mensajería son medidas prácticas. En entornos empresariales, la detección de comportamientos anómalos en memoria y la supervisión de conexiones salientes hacia dominios y puertos inusuales (por ejemplo, tráfico saliente hacia puertos no estándar como el 9899) pueden señalar infecciones en marcha.
La aparición de AtlasCross RAT y la reutilización de certificados válidos subrayan una lección recurrente: los atacantes no dependen ya solo de vulnerabilidades técnicas aisladas, sino que combinan ingeniería social, abuso de la reputación digital y técnicas anti-detección cada vez más refinadas. La comunidad de defensa debe, por tanto, combinar controles técnicos con procesos robustos de validación y concienciación. Para seguir las publicaciones y análisis de incidentes relacionados con actores como Silver Fox y la evolución de variantes de Gh0st, los centros de investigación y blogs de seguridad siguen siendo fuentes valiosas y actualizadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...