En un operativo reciente documentado por la firma de inteligencia en engaños cibernéticos MalBeacon, el grupo de ransomware conocido como Velvet Tempest (también rastreado como DEV-0504) empleó una mezcla de engaños sociales y herramientas legítimas de Windows para introducir y ejecutar cargas maliciosas en una red objetivo. La intrusión combinó una campaña de malvertising con una técnica de ingeniería social conocida como "ClickFix", el abuso de utilidades nativas del sistema y loaders en memoria, lo que permitió a los atacantes llegar a un backdoor avanzado sin necesidad de un archivo ejecutable tradicional en disco.
La técnica ClickFix se basa en engañar al usuario para que pegue en el cuadro Ejecutar de Windows (Win+R) un comando ofuscado que parece inofensivo pero que desencadena una cadena de procesos. En la observación de MalBeacon, el cebado partió de anuncios maliciosos y una pantalla tipo CAPTCHA que persuadía a la víctima a realizar la acción. Ese simple gesto activó cadenas anidadas de cmd.exe, que a su vez invocaron utilidades como finger.exe para recuperar los primeros “stagers”. Es un ejemplo claro de cómo los atacantes evitan adjuntos maliciosos directos y, en cambio, explotan la interacción humana y programas legítimos del sistema. Más detalles del análisis se pueden consultar en la nota de MalBeacon: MalBeacon.
Una vez dentro, los operadores realizaron actividad manual (hands-on-keyboard): reconocimiento de Active Directory, descubrimiento de hosts y mapeo del entorno. Usaron PowerShell para descargar comandos adicionales y ejecutaron un script destinado a extraer credenciales almacenadas por el navegador Chrome, un comportamiento que encaja con técnicas conocidas de robo de credenciales desde navegadores (MITRE ATT&CK T1555.002). Parte del malware inicial fue distribuido en un archivo comprimido disfrazado como PDF, y en etapas posteriores el grupo compiló componentes .NET en carpetas temporales con csc.exe y desplegó módulos en Python para establecer persistencia en C:\ProgramData.
En la fase de puesta a punto, los atacantes usaron DonutLoader para ejecutar código en memoria y finalmente descargaron CastleRAT, un troyano de acceso remoto que suele estar asociado a un ecosistema de loaders como CastleLoader y a familias de info-stealers. El uso de loaders en memoria como Donut permite ejecutar binarios .NET sin crear ejecutables evidentes en disco, dificultando la detección tradicional; el proyecto Donut, que implementa esa técnica, está documentado públicamente en GitHub: Donut (GitHub).
MalBeacon registró esta campaña en un entorno simulado que replicaba la infraestructura de una organización estadounidense sin ánimo de lucro con más de 3.000 endpoints y unos 2.500 usuarios, durante un periodo de 12 días entre el 3 y el 16 de febrero. Aunque Velvet Tempest tiene un historial prolongado actuando como afiliado en campañas de doble extorsión y ha sido vinculado a despliegues de familias de ransomware muy conocidas en los últimos años, en este ejercicio específico los operadores no detonaron el ransomware Termite que a veces se les asocia. Esa ausencia subraya que la fase de intrusión puede usarse tanto para robo de información como para preparación de una ejecución posterior: los atacantes pueden modular su objetivo según la oportunidad y la respuesta del defensor.
El comportamiento observado ejemplifica dos tendencias que vemos con frecuencia en ataques recientes: por un lado, el abuso de utilidades nativas del sistema y compiladores locales (lo que la comunidad llama "living‑off‑the‑land"), y por otro, el uso de engaños sociales que piden a la víctima realizar acciones manuales simples pero peligrosas. MITRE agrupa muchas de estas técnicas bajo categorías como el uso de intérpretes de comandos y el abuso de binarios legítimos: T1059 - Command and Scripting Interpreter y T1218 - System Binary Proxy Execution.
Además, la práctica de incrustar componentes .NET compilados temporalmente y ejecutar cargas en memoria complica la detección por firmas y obliga a los equipos de seguridad a apoyarse más en telemetría de comportamiento y en señales de anomalía (por ejemplo, csc.exe que crea ensamblados inusuales en directorios temporales, ejecuciones repetidas de PowerShell con ofuscación o procesos que descargan payloads desde IPs poco reputadas). Las autoridades y agencias de seguridad pública recomiendan reforzar la defensa con medidas como segmentación de redes, políticas estrictas de ejecución, monitorización de los procesos críticos y programas de concienciación para evitar acciones como pegar comandos en el cuadro Ejecutar; las guías de CISA sobre ransomware y medidas defensivas ofrecen orientación práctica: CISA - Ransomware Guidance.
Finalmente, no es un caso aislado que grupos de ransomware y afiliados adopten el truco ClickFix: informes de la industria han documentado otras bandas que usan variantes de esta ingeniería social para lograr entrada en redes corporativas. Un ejemplo reciente que vinculó una campaña similar a la banda Interlock fue informado por Sekoia, que destaca cómo técnicas aparentemente simples pueden esquivar controles si el factor humano no está preparado: Sekoia - Blog.
Si hay una lección clara es que la seguridad ya no depende solo de bloquear archivos maliciosos: la combinación de señales humanas, herramientas válidas del sistema y loaders en memoria exige una estrategia de defensa en profundidad que abarque tecnología, procesos y formación. Las organizaciones deben priorizar detección basada en comportamiento, proteger y auditar accesos privilegiados, y educar a usuarios para que no ejecuten comandos recibidos por canales no verificados. Para profesionales que quieran afinar detecciones, prestar atención a descargas desde direcciones de staging sospechosas, a la aparición de compilaciones .NET inesperadas y a persistencias creadas en ubicaciones poco habituales como C:\ProgramData suele ser un buen punto de partida.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...