Durante más de un año, un actor de amenazas de habla rusa ha ejecutado una campaña dirigida a departamentos de recursos humanos que combina ingeniería social con técnicas avanzadas de evasión para extraer información de equipos comprometidos. Los atacantes se hicieron pasar por candidatos y utilizaron archivos de imagen ISO que contenían lo que parecían ser currículums, alojados en servicios de almacenamiento en la nube, como Dropbox, con el objetivo de engañar a los responsables de contratación para que descargaran y abrieran esos contenedores.
El análisis de los investigadores de la compañía de soluciones de red y seguridad Aryaka revela una cadena de infección pensada para pasar desapercibida. En los ISOs maliciosos examinados aparecían cuatro elementos: un acceso directo de Windows (.LNK) que simulaba ser un PDF, un script de PowerShell, una imagen y un icono (.ICO). Al abrir el acceso directo, se lanzaba PowerShell para ejecutar el script, que a su vez extraía datos ocultos dentro de la imagen mediante esteganografía y los ejecutaba únicamente en memoria, evitando que ficheros maliciosos quedaran visibles en el disco.
Además, el guion descargaba un archivo ZIP que incluía una versión legítima del lector SumatraPDF junto a una DLL maliciosa (DWrite.dll) diseñada para cargarse mediante la técnica conocida como DLL sideloading. Esta técnica aprovecha ejecutables firmados o legítimos para cargar librerías manipuladas, lo que complica la detección por parte de soluciones tradicionales. Posteriormente el código recogía información del sistema (fingerprinting) y la enviaba a un servidor de mando y control (C2), mientras realizaba comprobaciones ambientales: si detectaba máquinas virtuales, sandboxes o herramientas de depuración, abortaba la ejecución para no delatarse.
Una pieza central de la operación es un ejecutable identificado como BlackSanta, descrito por los autores del informe como un “EDR killer”. Su propósito es desactivar o neutralizar protecciones de endpoints antes de que se desplieguen cargas útiles más peligrosas. Entre sus acciones documentadas está la creación de exclusiones en Microsoft Defender para extensiones específicas (por ejemplo, archivos .dls y .sys) y la modificación de claves del Registro para reducir la telemetría y la subida automática de muestras a los servicios de seguridad en la nube de Microsoft. El informe de Aryaka también señala que BlackSanta puede suprimir notificaciones de Windows para minimizar alertas visibles al usuario y que su mecanismo principal consiste en detectar procesos relacionados con antivirus, EDR, SIEM y herramientas forenses para terminarlos mediante llamadas a controladores cargados que actúan a nivel de kernel.
Los investigadores encontraron además infraestructura adicional vinculada al mismo actor y constataron que la campaña llevaba operando sin ser detectada durante un año. El análisis de las direcciones IP usadas por los atacantes mostró descargas de componentes “Bring Your Own Driver” (BYOD), entre ellas controladores legítimos pero abusados, como el antirrootkit RogueKiller (de Adlice) y IObitUnlocker. Estos controladores, originalmente desarrollados para propósitos legítimos, han sido aprovechados en operaciones maliciosas para obtener privilegios elevados y manipular hooks del kernel o sortear bloqueos de archivos y procesos, lo que otorga al atacante un acceso de bajo nivel muy difícil de contener desde el propio sistema comprometido.
La técnica de ejecutar cargas en memoria, ocultar instrucciones en imágenes, usar sideloading de DLL y abusar de controladores legítimos forma una cadena de compromisos diseñada para evitar firmas y sandboxes. El resultado es una operación sigilosa y adaptable, con un actor que cuida su seguridad operacional para que sus herramientas —como BlackSanta— puedan desplegarse y operar sin ser interrumpidas por las defensas habituales.
Para quien maneja procesos de selección hay una lección clara: los atacantes han convertido los currículums en cebos eficaces. Abrir un ISO o ejecutar un fichero recibido de una fuente no verificada puede desencadenar una intrusión que primero desactiva la protección del equipo y luego descarga componentes más dañinos. Las organizaciones deberían revisar políticas y controles para evitar que archivos montables (ISOs) o ejecutables descargados desde enlaces externos se abran sin verificación y que la manipulación de controladores requiera aprobaciones elevadas y auditoría.
Si quieres profundizar en los detalles técnicos, el propio informe de Aryaka ofrece un análisis técnico y muestras del comportamiento observando la campaña: informe técnico de Aryaka (PDF). Para entender por qué el uso de controladores legítimos es especialmente peligroso, puedes consultar las páginas de los desarrolladores de esos controladores, como Adlice para RogueKiller (adlice.com/roguekiller) e IObit para IObit Unlocker (iobit.com/iobit-unlocker), donde se explica su propósito legítimo y cómo su abuso constituye un vector de elevación de privilegios. Para complementar la visión sobre cómo estas técnicas han aparecido en otras campañas y cómo los defensores las pueden mitigar, hay cobertura especializada en medios de ciberseguridad que han destacado el uso de controladores firmados por atacantes para neutralizar EDR, por ejemplo en BleepingComputer, y la documentación oficial de Microsoft aclara cómo funcionan las exclusiones y la telemetría en Defender (documentación de Microsoft Defender).
¿Qué deben hacer hoy los equipos responsables? Evitar que HR trate archivos ISO o ejecutables sin validación, imponer controles de descarga y montaje de imágenes virtuales, auditar cambios en el Registro y exclusiones de antivirus, y restringir la instalación de drivers sin revisión. También es recomendable monitorizar el tráfico saliente hacia servidores desconocidos, correlacionar señales de fingerprinting del sistema y comportamiento anómalo (ejecución en memoria, procesos hijos que inyectan código) y mantener una comunicación clara entre RR. HH. y los equipos de seguridad para que cualquier currículum sospechoso se trate como un incidente potencial.
La campaña que entrega BlackSanta recuerda que la superficie de ataque evoluciona más allá de los correos phishing “obvios”: los atacantes combinan engaño humano con herramientas técnicas complejas para silenciar defensas y permanecer dentro de las redes. La protección efectiva pasa por políticas técnicas (bloqueo de montaje de ISOs, control estricto de drivers, EDR con telemetría protegida) y por formación práctica para que quienes manejan CVs reconozcan señales de riesgo antes de interactuar con archivos potencialmente peligrosos. Para información general sobre cómo identificar y reaccionar a correos de suplantación, la guía de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. puede ser útil: recomendaciones de CISA sobre phishing.
En resumen, BlackSanta no es solo otra pieza de malware: es el fruto de una operación que mezcla ingeniería social dirigida, ejecución en memoria, uso de cargas auxiliares y abuso de componentes legítimos para silenciar defensas. Ese enfoque requiere igualmente respuestas coordinadas entre RR. HH., TI y seguridad para cerrar las ventanas de exposición y detectar señales tempranas antes de que los atacantes consigan anular las barreras de protección.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...