Una campaña masiva de malvertising que se detectó a comienzos de 2026 aprovechó las búsquedas de documentos fiscales para llevar a víctimas en Estados Unidos a instaladores maliciosos que entregan un asesino de soluciones de seguridad en modo kernel. Según el análisis publicado por la firma de ciberseguridad Huntress, los anuncios patrocinados redirigían a páginas tramposas que distribuían instaladores de ConnectWise ScreenConnect (también conocido como ConnectWise Control) y, desde ahí, desplegaban una cadena de ataque diseñada para dejar ciegas a las defensas del endpoint antes de avanzar en el compromiso. Puedes leer el informe técnico de Huntress aquí: Huntress — W2 malvertising to kernel mode EDR kill.
Lo que hace especialmente peligrosa esta operación no es sólo el uso de ingeniería social sobre temas fiscales, sino la combinación de herramientas comerciales y componentes legítimos. Los atacantes usaron servicios de cloaking comerciales para que los escáneres y sistemas de revisión de anuncios vieran una página inofensiva, mientras que las personas reales recibían el instalador malicioso. Según Huntress, la infraestructura incluía al menos dos capas de ocultamiento: una basada en Adspect y otra en JustCloakIt, que en conjunto verifican huellas del visitante y deciden qué contenido servir. Ese tipo de TDS (Traffic Distribution System) les permitió evadir detecciones automáticas y focalizar la entrega.
La pieza crítica de la cadena maliciosa es un módulo que los investigadores han bautizado HwAudKiller. Este componente aprovecha una técnica conocida como "Bring Your Own Vulnerable Driver" (BYOVD), en la que se carga un controlador legítimo y firmado que contiene vulnerabilidades aprovechables para ejecutar acciones desde el kernel. En este caso se identificó el driver firmado por un fabricante conocido de hardware de audio —el archivo HWAuidoOs2Ec.sys— y se utilizó para terminar procesos de productos de seguridad desde modo kernel, algo que los controles en espacio de usuario no pueden impedir fácilmente.
La ingeniería detrás del abuso de controladores firmados es sencilla en su planteamiento y alarmante en sus consecuencias: Windows permite cargar controladores firmados sin saltarse la comprobación de firma (Driver Signature Enforcement). Si un atacante encuentra un controlador legítimo que tiene funciones que pueden ser mal utilizadas —por ejemplo, la capacidad de terminar procesos desde el kernel—, puede aprovecharlo para desactivar EDRs y antivirus, abriendo la puerta a tareas posteriores como volcado de credenciales o movimiento lateral.
Una vez conseguida la persistencia inicial con instancias de ScreenConnect, los operadores desplegaron herramientas adicionales de administración remota y redundancia, incluyendo múltiples instancias de prueba de ScreenConnect y agentes RMM como FleetDeck, para no perder acceso si una instancia era detectada. Además, en al menos un incidente se observó el volcado de memoria del proceso LSASS y el uso de utilidades de auditoría y movimiento lateral como NetExec. Estas acciones encajan con comportamientos observados en actores que preparan el terreno para desplegar ransomware o para vender accesos en mercados clandestinos.
Los atacantes también intentaron evadir las plataformas de detección mediante técnicas de ofuscación y de abuso de recursos. El crypter empleado por los operadores asignaba y rellenaba dos gigabytes de memoria con ceros y luego liberaba ese bloque, un truco pensado para hacer fallar a emuladores y sandboxes por el alto consumo de memoria y así reducir la probabilidad de detección por análisis dinámico.
Entre los indicadores técnicos hay otro detalle interesante: en una carpeta pública en la infraestructura del atacante apareció una página falsa de actualización de Chrome con comentarios en ruso en el código JavaScript, lo que sugiere la participación de un desarrollador de habla rusa o el uso de toolkits disponibles en esa comunidad. Eso no equivale a atribución definitiva, pero aporta pistas sobre el origen de la herramienta social y técnica usada para engañar a las víctimas.
Este caso evidencia una tendencia preocupante: la combinatoria de servicios comerciales, herramientas de acceso remoto gratuitas o de prueba, crypters fuera de caja y controladores firmados pero inseguros permite a actores con recursos modestos montar cadenas de ataque sofisticadas sin explotar vulnerabilidades de día cero ni capacidades propias de estados-nación. Huntress lo resume señalando que la barrera de entrada para operaciones avanzadas se ha reducido al combinar componentes de mercado.
¿Qué pueden hacer empresas y usuarios para reducir el riesgo frente a este tipo de ataques? En primer lugar, conviene reforzar controles sobre la instalación de software remoto y revisar cualquier aparición inesperada de conexiones entrantes de ScreenConnect o herramientas RMM. En entornos corporativos, aplicar políticas de control de drivers y lista blanca de controladores ayuda a mitigar el abuso de componentes firmados; Microsoft documenta las políticas de firma de controladores en su documentación técnica sobre kernel-mode code signing aquí. También es recomendable habilitar tecnologías de protección de credenciales como Credential Guard para dificultar el volcado de LSASS (documentación de Microsoft).
En el plano operativo, bloquear dominios y patrones observados en las cadenas de distribución, restringir la ejecución de instaladores descargados desde anuncios patrocinados, segmentar la red y aplicar monitoreo que detecte la instalación o ejecución inusual de múltiples agentes remotos son medidas efectivas. Para defenderse de técnicas de evasión como las descritas por el crypter, es importante contar con soluciones de seguridad que incorporen telemetría en múltiples capas (endpoint, red y nube) y no depender únicamente del análisis estático o de sandboxes con recursos limitados. Las organizaciones también deben mantener políticas de educación para los empleados sobre los riesgos de seguir enlaces patrocinados que prometen documentos fiscales y verificar siempre la legitimidad de dominios y certificados.
Para entender el contexto táctico, pueden consultarse referencias públicas sobre técnicas de robo de credenciales y movimiento lateral, como el catálogo de MITRE ATT&CK para "Credential Dumping" (MITRE ATT&CK — T1003), que ayuda a correlacionar indicadores y tácticas usadas por los atacantes.
En resumen, la campaña detectada por Huntress es una llamada de atención: no solo vuelve a demostrar la eficacia del malvertising contra usuarios que buscan servicios legítimos (como formularios fiscales), sino que muestra cómo la reutilización de software legítimo con fallos puede volverse en un arma potente cuando se combina con servicios comerciales de cloaking y herramientas de acceso remoto. Defenderse hoy exige una estrategia que vaya más allá de firmar controladores o confiar en análisis en sandbox: requiere controles de ejecución, segmentación, detección multinivel y una buena higiene digital por parte de los usuarios.
Si quieres profundizar en los detalles técnicos y los indicadores observados por los investigadores, revisa el informe de Huntress mencionado arriba y considera revisar tus registros de telemetría para buscar patrones de instalación de ScreenConnect, conexiones a dominios sospechosos y la presencia de controladores inusuales en los hosts.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...