Una operación de ciberespionaje está ampliando sus horizontes y adaptando su código para atacar sistemas Linux: el grupo conocido como Harvester —vinculado desde 2021 a campañas dirigidas a organizaciones en el sur de Asia— ha sido observado desplegando una nueva variante del backdoor GoGra escrita en Go, diseñada explícitamente para máquinas ELF. Investigadores de la industria han señalado que esta versión reutiliza un truco particularmente difícil de detectar: abusa de la infraestructura en la nube de Microsoft y utiliza buzones de Outlook como canal encubierto de mando y control (C2).
La táctica no es nueva para el actor. En 2021 se identificó una implantación previa llamada Graphon que ya empleaba la API de Microsoft Graph para intercambiar órdenes y exfiltrar información, apuntando a sectores como telecomunicaciones, administraciones públicas y tecnología en la región. Lo que resulta llamativo ahora es la extensión de esa técnica a Linux con una herramienta escrita en Go, lo que amplía la superficie de ataque más allá de los sistemas Windows tradicionales. Para entender la magnitud del enfoque, conviene recordar que la API de Microsoft Graph está documentada y es legítima —su diseño facilita el acceso a buzones y carpetas— y por eso los atacantes la usan para camuflar su tráfico entre comunicaciones normales: Microsoft Graph (documentación).
Los detalles técnicos reportados describen un método de entrega que mezcla ingeniería social y camuflaje: el binario ELF llega al usuario con apariencia de documento PDF. Al ejecutarse, muestra una página de señuelo para distraer a la víctima mientras, en segundo plano, se inicia el backdoor. A continuación, el malware consulta continuamente una carpeta específica del buzón de Outlook —con nombre deliberadamente mundano como "Zomato Pizza"— realizando consultas OData para comprobar si hay nuevas instrucciones. Las consultas OData para Microsoft Graph y la manipulación de carpetas están explicadas en la documentación oficial: consultas y parámetros OData en Microsoft Graph.
El mecanismo de control es sorprendentemente simple y efectivo. El implant revisa los mensajes cuyo asunto comienza con la palabra "Input". Si encuentra uno, toma su cuerpo codificado en Base64, lo descifra y lo ejecuta usando /bin/bash. Los resultados de la ejecución se encapsulan y se envían de vuelta al operador por correo con un asunto que empieza por "Output". Tras completar la tarea de exfiltración, el implante borra el mensaje de tarea original para dificultar la investigación forense. Esta técnica aprovecha la legitimidad del servicio de correo para evadir detecciones basadas en tráfico de red sospechoso.
Los descubridores del caso señalan además coincidencias en artefactos y errores tipográficos codificados de forma idéntica entre la versión para Windows y la nueva versión para Linux, lo que sugiere que el mismo equipo o desarrollador ha ido trasladando y adaptando su lógica de C2 entre plataformas. Ese rasgo de "firma" del autor, junto con cargas detectadas que fueron subidas a plataformas públicas desde India y Afganistán, apunta a que las campañas actuales estarían orientadas a objetivos en esos países, aunque la geolocalización de muestras en servicios como VirusTotal no siempre equivale a la localización de las víctimas o del operador: VirusTotal.
La investigación y la difusión de este hallazgo han contado con la participación de equipos especializados en cazas de amenazas, y los análisis iniciales fueron compartidos con medios especializados para acelerar la conciencia pública. Informes de actores de la industria como Symantec y equipos de respuesta y caza de amenazas han sido citados por la prensa especializada en seguridad; la divulgación de estas observaciones busca ayudar a defensores y administradores a identificar patrones inusuales de acceso a buzones y a ajustar controles en la nube. Ver notas públicas sobre tendencias y advertencias en blogs de la industria ayuda a contextualizar estas campañas: Symantec Enterprise Blogs y análisis de equipos de seguridad como los de VMware/Carbon Black en sus canales oficiales.
¿Por qué este enfoque es peligroso? Porque transforma servicios legítimos en canales de comunicación del atacante. Al utilizar la propia infraestructura en la nube del proveedor de correo, el tráfico hace blending con las comunicaciones normales, lo que reduce la probabilidad de que los sistemas defensivos tradicionales basados en detección de anomalías en el perímetro lo etiqueten como malicioso. Además, al operar desde un buzón de correo, muchas de las señales de alarma convencionales —conexiones a servidores desconocidos, dominios maliciosos o tráfico cifrado a infraestructuras de comando— quedan atenuadas o desaparecen.
Para las organizaciones afectadas o en riesgo, las medidas defensivas no son triviales pero sí claras: reforzar controles de acceso a APIs y permisos, monitorizar patrones de actividad en buzones (por ejemplo, accesos programados muy frecuentes o borrados masivos de mensajes), endurecer la inspección de archivos adjuntos y educar al personal contra engaños que llevan a ejecutar binarios disfrazados como documentos. La integración de soluciones de detección y respuesta en endpoints y entornos cloud, junto con análisis de comportamiento de correo, ayuda a levantar señales de alarma más tempranas.
Esta evolución del arsenal de Harvester subraya una lección recurrente en ciberseguridad: los atacantes no necesitan infraestructura propia si pueden reutilizar servicios confiables y legítimos para sus comunicaciones. La portabilidad del backdoor a Linux y su implementación en Go también muestran que los desarrolladores de amenazas buscan abarcar distintos tipos de dispositivos y servidores, lo que obliga a defender con una visión multiplataforma.
Si quieres profundizar en cómo funciona Microsoft Graph o revisar buenas prácticas para proteger APIs y buzones, la documentación de Microsoft y los análisis de la comunidad son un buen punto de partida: Microsoft Graph. Para comprobar muestras sospechosas y su historial público, VirusTotal mantiene repositorios de archivos y metadatos que pueden ser útiles para investigadores. Y para seguir la cobertura periodística y técnica sobre este incidente en particular, consulta recursos especializados como The Hacker News y las publicaciones de los equipos de amenazas en los blogs oficiales de la industria.
En esencia, estamos ante una campaña que confirma la tendencia de los atacantes a adaptar herramientas ya probadas a nuevos entornos, y a explotar servicios legítimos para persistir y comunicarse. La recomendación es clara: priorizar la visibilidad en la nube y en los endpoints, revisar permisos API y tomar medidas proactivas de higiene digital antes de que una intrusión encubierta pase a ser un incidente mayor.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...