Hace poco, investigadores de seguridad han destapado una campaña que combina ingeniería social afinada y trucos técnicos para convertir una extensión del navegador en una puerta hacia un acceso remoto persistente. Los hallazgos, publicados por la firma Huntress, describen una operación bautizada KongTuke que utilizó una extensión maliciosa que fingía ser un bloqueador de publicidad, y que deliberadamente forzaba el bloqueo del navegador para engañar al usuario y lograr que ejecute comandos con los que se descargaba y desplegaba malware avanzado.
El vector inicial es sorprendentemente cotidiano: alguien busca un bloqueador de anuncios, recibe un anuncio malicioso y acaba instalando una extensión desde la tienda oficial de Chrome que aparenta ser legítima. La pieza maliciosa identificada por los investigadores se llamaba "NexShield – Advanced Web Guardian" y fue diseñada para parecerse casi de forma idéntica a una versión legítima de uBlock Origin Lite, lo que facilitó que miles de usuarios la instalaran antes de que fuera retirada.
Lo interesante desde el punto de vista técnico es cómo la extensión convierte la frustración del usuario en el mecanismo de entrega del segundo estadio. Después de un periodo de latencia intencionado —la carga maliciosa se activa con retardo para evitar una detección inmediata— la extensión muestra una alerta fraudulenta que indica que el navegador ha fallado y ofrece un “escaneo de reparación”. Si el usuario sigue las instrucciones, se le pide que abra el cuadro Ejecutar de Windows y pegue un comando que ya está en el portapapeles. Ese comando, lejos de ser una utilidad de diagnóstico inocua, dispara un mecanismo que provoca un consumo extremo de recursos en el navegador: se crean repetidamente conexiones de puertos de runtime en un bucle infinito hasta que el navegador se vuelve inestable y termina por colapsar.
La técnica concreta de sobrecarga abusa de la API interna del navegador para crear una avalancha de conexiones de runtime, lo que agota memoria y CPU hasta provocar la congelación y el cierre. Mientras tanto, la extensión implementa una lógica que detecta el reinicio forzado del navegador y reacciona mostrando la misma ventana fraudulenta en el siguiente arranque, alimentando así un bucle donde la misma “solución” se ofrece una y otra vez a usuarios ya frustrados. Para conocer más sobre las APIs que fueron abusadas, la documentación de extensiones de Chrome ofrece contexto sobre cómo funcionan los runtime ports: developer.chrome.com/docs/extensions/reference/runtime.
La campaña no se queda en la molestia: hay un segundo acto malicioso. La extensión envía un identificador único a un servidor controlado por el atacante y, cuando se cumplen ciertas condiciones (el identificador existe, el servidor responde y el usuario ha interactuado con el popup), ejecuta un comando que utiliza una utilidad legítima de Windows para descargar el siguiente estadio desde una dirección remota. Ese comando desencadena una cadena de PowerShell ofuscada con múltiples capas de Base64 y operaciones XOR, que descifra un payload capaz de sondear el equipo en busca de herramientas de análisis y entornos virtualizados. Si detecta que el equipo es parte de un dominio empresarial, el flujo culmina con la instalación de un troyano de acceso remoto escrito en Python, apodado ModeloRAT.
ModeloRAT incorpora cifrado RC4 para sus comunicaciones con el servidor de mando y control, se asegura persistencia modificando el Registro de Windows y permite a los operadores ejecutar binarios, bibliotecas, scripts Python y comandos PowerShell. Su comportamiento de sondeo y comunicaciones está pensado para evadir detección: bajo operación normal utiliza intervalos poco frecuentes para “beaconing”, pero puede pasar a un modo activo con sondeos muy rápidos cuando recibe la orden. Tras fallos repetidos de comunicación, el malware reduce su ritmo para minimizar el ruido y mantenerse más sigiloso.
Los detalles técnicos documentados por Huntress muestran que los operadores detrás de la infraestructura del tráfico —conocida en la comunidad como KongTuke, 404 TDS o TAG-124 según distintos reportes— tienen historial de distribuir cargas útiles y “entregar” acceso a terceras partes, incluyendo familias de ransomware. Un análisis previo de esta infraestructura y sus asociaciones con otros grupos fue reportado por firmas de inteligencia, lo que subraya que no se trata de una prueba aislada sino de una cadena de distribución con objetivos operativos claros. Para contexto sobre la actividad de estos sistemas de distribución y su uso por actores delictivos, firmas de inteligencia como Recorded Future han publicado análisis sobre grupos y TDS que facilitan este tipo de comercio ilícito (ver Recorded Future).
En cuanto a la persistencia de la campaña y las defensas técnicas: la extensión incorporaba medidas anti-análisis, como desactivar el menú contextual y bloquear atajos de teclado para dificultar que el usuario abra herramientas de desarrollador o inspeccione el código. Además, la carga final verifica cientos de indicadores de entornos de análisis y aborta si encuentra registros típicos de laboratorios de malware, lo que complica el trabajo de los investigadores. Los indicadores de infraestructura y los archivos asociados a la campaña fueron registrados en plataformas como VirusTotal para su seguimiento: nexsnield[.]com en VirusTotal.
Más allá de la explicación técnica, hay una lección clara sobre el factor humano. Este ataque explota la confianza en extensiones de navegador y en mensajes que aparentan resolver un problema inmediato. Al fingir un proyecto de código abierto conocido y reproducir su interfaz, los atacantes reducen las señales de alarma y aumentan las posibilidades de que la víctima siga las instrucciones.
¿Qué pueden hacer los usuarios y las empresas para reducir el riesgo? Primero, desconfiar de instrucciones que piden ejecutar comandos copiados desde un sitio o una ventana emergente: nunca pegue ni ejecute comandos que no haya verificado. Revisar y administrar las extensiones instaladas, eliminando cualquier elemento desconocido o que no provenga de una fuente de confianza. Para ayuda paso a paso sobre cómo eliminar extensiones en Chrome, la documentación oficial de Google ofrece indicaciones claras: support.google.com/chrome/answer/187443. En entornos corporativos, las políticas de administración de extensiones y los controles de instalación centralizados pueden evitar que usuarios instalen complementos no autorizados. También es recomendable que los equipos de seguridad verifiquen conexiones salientes y anomalías en los endpoints, y que mantengan las soluciones antivirus y EDR actualizadas para detectar patrones de ejecución de scripts y persistencia en el Registro.
Finalmente, es importante recordar que los atacantes recurren con frecuencia a herramientas legítimas del sistema para descargar y ejecutar cargas útiles, usando utilidades incluidas en Windows para diluir la señal maliciosa. Un ejemplo técnico de una utilidad usada en esta campaña es la referencia oficial de Microsoft sobre ciertos comandos del sistema, que conviene conocer para comprender cómo pueden ser mal utilizados: finger.exe en la documentación de Microsoft.
La campaña KongTuke y su variante CrashFix son un recordatorio de que la seguridad en la navegación pasa por una combinación de higiene digital individual y políticas técnicas robustas. Las extensiones son potentes y útiles, pero también constituyen una superficie de ataque que puede explotarse con gran eficacia cuando se combina con engaños psicológicos bien ejecutados y con infraestructuras de distribución ya probadas. Mantenerse informados, confirmar fuentes y aplicar controles técnicos son las mejores defensas frente a este tipo de amenazas.
Para una lectura directa y técnica del reporte que motivó este análisis, la investigación original de Huntress ofrece un desglose completo de la cadena de ataque y los indicadores de compromiso: Huntress — CrashFix / KongTuke. Para contrastar y ampliar contexto sobre actores y TDS asociados conviene consultar informes de inteligencia y repositorios técnicos adicionales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...