Un equipo de inteligencia de amenazas español ha descrito una campaña reciente que ha puesto el foco en organizaciones ucranianas y que, por su modus operandi, apunta a actores con posibles lazos a grupos rusos previamente documentados. El análisis publicado por LAB52 de S2 Grupo bautiza la pieza maliciosa como DRILLAPP y sitúa la observación inicial en febrero de 2026, aunque rastros tempranos datan de finales de enero.
Lo más llamativo de esta campaña es la utilización del navegador como vector de ejecución y de persistencia. En lugar de recurrir a ejecutables tradicionales, los atacantes aprovechan accesos aparentemente legítimos al navegador Edge —lanzándolo en modo “headless” con parámetros que desactivan las protecciones— para ejecutar un código JavaScript ofuscado alojado en servicios de pegado público como Pastefy. Al habilitar banderas como –no-sandbox, –disable-web-security o –use-fake-ui-for-media-stream, el proceso del navegador obtiene permisos que normalmente estarían restringidos: acceso al sistema de archivos, captura de cámara y micrófono, y grabación de pantalla sin intervención del usuario. Para entender en términos generales qué significa ejecutar un navegador en este modo puede consultarse la entrada sobre headless browsers.
El primer vector observado combinó accesos directos de Windows (.LNK) con aplicaciones HTML (HTA) temporales que descargaban y ejecutaban el script remoto. Los atajos se copiaban a la carpeta de Inicio de Windows para garantizar la reejecución tras un reinicio. En una iteración posterior los operadores cambiaron la táctica y recurrieron a módulos del Panel de Control, manteniendo sin embargo la cadena de infección esencialmente igual. El cambio no fue solo en el transporte: la puerta trasera evolucionó y empezó a ofrecer funciones más robustas, como enumeración recursiva de archivos, subidas masivas y descarga arbitraria de ficheros.
Desde el punto de vista técnico, los atacantes han superado limitaciones del propio entorno JavaScript recurriendo al Chrome DevTools Protocol (CDP), un protocolo interno de los navegadores basados en Chromium que, cuando se expone mediante el parámetro de depuración remota, permite acciones que el JavaScript estándar no puede realizar por sí mismo, incluida la descarga remota de archivos. Esta dependencia del CDP es una pista clara sobre cómo se está explotando la superficie de los navegadores para saltarse restricciones de seguridad diseñadas precisamente para impedir este tipo de abusos.
DRILLAPP opera como una puerta trasera ligera que, además de mantener archivos y comunicarse con un servidor de comando y control, incorpora capacidades de espionaje multimedia: captura de audio, imágenes desde la cámara y capturas de pantalla. En su primera ejecución recopila una “huella” del dispositivo mediante técnicas como el canvas fingerprinting, y envía esa información junto con una identificación de país inferida a partir de la zona horaria del sistema. El código contiene una lista explícita de zonas horarias de interés —entre ellas Ucrania, el Reino Unido, Rusia, EE. UU. y varios países europeos y asiáticos— y, si no detecta ninguna, asume por defecto EE. UU.
Para ocultar la dirección real del servidor de control, los atacantes usan sitios de pegado como intermediarios (“dead drop resolvers”) que devuelven una URL de WebSocket que el malware utiliza para mantener la comunicación. LAB52 también documenta una variante temprana que, en lugar de Pastefy, se comunicaba con un dominio aparentemente genérico (“gnome[.]com”), lo que sugiere experimentación y desarrollo activo del conjunto de herramientas.
El uso del navegador como vector tiene razones prácticas para un atacante: los navegadores son procesos habituales en los sistemas, su presencia no despierta sospecha inmediata y, cuando se ejecutan con determinados parámetros, ofrecen acceso directo a recursos sensibles que en condiciones normales requerirían interacción y permisos explícitos. Eso convierte al navegador en una plataforma atractiva para técnicas de evasión y exfiltración encubierta.
¿Qué puede hacer una organización para reducir el riesgo de esta clase de ataques? En primer lugar, conviene vigilar patrones anómalos como instancias de Edge o Chrome lanzadas con parámetros de depuración remota o sin sandbox, y controlar cambios en carpetas de inicio y en la carga de módulos del Panel de Control que no tengan una justificación administrativa. Las políticas de navegación corporativa deberían restringir la ejecución de HTA y bloquear o inspeccionar comunicaciones salientes hacia servicios de pegado y repositorios dinámicos usados como dead drops. La aplicación de controles de permisos estrictos para cámara y micrófono, junto con soluciones EDR que detecten procesos de navegador que abren sockets inusuales o acceden de manera atípica al sistema de archivos, también ayuda a reducir la superficie de ataque.
Para quienes quieran profundizar en la explicación técnica y las IOCs, el informe original de LAB52 es la referencia directa sobre esta campaña: DRILLAPP — informe de LAB52. Si la campaña emplea señuelos relacionados con iniciativas civiles u organizaciones de ayuda, es importante contrastar los enlaces y páginas con las fuentes oficiales, por ejemplo la fundación Come Back Alive (savelife.in.ua) o servicios legítimos como Starlink, para evitar caer en páginas fraudulentas.
En términos más amplios, el incidente recuerda que las herramientas ampliamente utilizadas en la infraestructura cotidiana —navegadores, servicios de pegado o funcionalidades de depuración— pueden convertirse en armas si no se supervisan y configuran con criterio de seguridad. La amenaza es tanto técnica como social: combina ingeniería social (señuelos temáticos) con abuso de capacidades legítimas del software, y en ese cruce reside su eficacia.
La recomendación final para responsables TI y usuarios es mantener una postura proactiva: actualizar y endurecer navegadores y políticas de ejecución, auditar procesos que se inician en el arranque, y contar con capacidades de detección que distingan un proceso de navegador ordinario de uno que se comporta como un agente de recolección y exfiltración de datos. La publicación de LAB52 ofrece los detalles para aquellos equipos que deban identificar indicadores concretos y ajustar controles en sus entornos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...