Investigadores de ciberseguridad han identificado una campaña activa que está explotando el temor fiscal para infectar equipos en India con un backdoor en varias fases, aparentemente con fines de espionaje. Los atacantes envían correos que simulan notificaciones del Departamento de Impuestos sobre supuestas penalidades y, cuando la víctima abre el archivo adjunto, comienza una cadena de compromiso diseñada para conservar acceso persistente y extraer información sensible.
El desglose técnico publicado por el equipo de eSentire muestra que el ataque arranca con un archivo ZIP que solamente muestra un ejecutable visible titulado "Inspection Document Review.exe". Ese ejecutable se vale de una técnica de sideloading para cargar una DLL maliciosa incluida en el mismo paquete. Dicha DLL incorpora rutinas para detectar entornos de análisis y depuración, y contacta con un servidor externo para descargar la siguiente etapa del ataque, que incluye shellcode con capacidades de elevación de privilegios.
Para escalar privilegios, el cargador usa una técnica basada en COM que evita el aviso de Control de Cuentas de Usuario (UAC) y, como medida de ocultamiento, modifica su propia estructura de proceso —el llamado Process Environment Block (PEB)— para aparentar ser el proceso legítimo de Windows "explorer.exe". Así, reduce las posibilidades de ser detectado por controles básicos de monitoreo.
Desde el servidor de mando y control se recupera un instalador Inno Setup, bautizado como "180.exe" y alojado en un dominio sospechoso. Ese instalador adapta su comportamiento según la presencia del proceso de Avast ("AvastUI.exe"); si detecta el antivirus, el malware automatiza el movimiento del ratón y la interacción con la interfaz de Avast para añadir ciertos ficheros a la lista de exclusiones, en lugar de intentar desactivar el motor de protección. Ese truco permite que los componentes maliciosos eviten la detección sin llamar la atención por cambios evidentes en la configuración del producto de seguridad.
Uno de los binarios que se marca como excluido es una utilidad denominada "Setup.exe", la cual escribe en disco un ejecutable llamado "mysetup.exe". Ese binario es identificado como SyncFuture TSM, una herramienta comercial de gestión remota desarrollada por una compañía china. En este escenario, los atacantes están reutilizando un producto legítimo de administración remota para controlar de forma encubierta los endpoints comprometidos: grabar actividad del usuario, gestionar tareas a distancia y exfiltrar datos con gran discreción.
Paralelamente, se detecta la presencia de un DLL asociado a la familia Blackmoon (también conocida como KRBanker), un troyano bancario que se ha ido transformando y ha aparecido en campañas contra empresas en Corea del Sur, Estados Unidos y Canadá. Blackmoon es un ejemplo de cómo familias de malware originalmente orientadas al fraude financiero evolucionan hacia conjuntos de capacidades más amplias y flexibles, aptas para labores de espionaje.
Tras la ejecución del instalador y la puesta en marcha del agente RMM malicioso, la campaña despliega además una serie de scripts y utilitarios que facilitan la persistencia: archivos por lotes que crean directorios personalizados y ajustan permisos, scripts que manipulan permisos sobre carpetas de usuario y uno de limpieza que trata de borrar huellas. Otro ejecutable catalogado como "MANC.exe" actúa como orquestador, levantando servicios y habilitando un registro detallado de la actividad. Todo ello busca proporcionar a los atacantes control granular y un canal robusto para mantener el acceso a largo plazo.
Las implicaciones de esta combinación técnica son claras: al mezclar técnicas de anti-análisis, elevación de privilegios, DLL sideloading, abuso de software comercial y tácticas de evasión de soluciones de seguridad, los actores muestran tanto capacidad técnica como intención de mantener espionaje sostenido. Además, el uso de herramientas legítimas como parte de la cadena complica la detección y la atribución, porque el tráfico y los procesos pueden confundirse con operaciones administrativas aceptadas por las organizaciones.
Para contextualizar, Blackmoon no es un actor nuevo; su evolución está documentada por firmas y análisis de la industria (Broadcom, Unit42, Rapid7) y las tácticas observadas en esta operación —phishing dirigido, explotación de confianza en herramientas legítimas, y evasión de antivirus— encajan con campañas de recolección de inteligencia a escala.
La campaña que afectó a usuarios en India ha sido documentada por eSentire; ellos describen cómo la infraestructura y las decisiones de diseño de la cadena de ataque apuntan a una operación coordinada y bien preparada, aunque por ahora no hay una atribución pública a un grupo concreto (informe de eSentire).
Desde la perspectiva de defensa, la amenaza subraya lo peligroso que resulta confiar en la legitimidad aparente de un archivo o en la supuesta procedencia institucional de un correo. Mantener prácticas de higiene digital como verificar comunicaciones fiscales en los canales oficiales, evitar abrir adjuntos de procedencia dudosa y comprobar la firma digital de instaladores puede evitar la entrada inicial del ataque. A nivel organizativo, medidas como el endurecimiento de políticas de control de aplicaciones, el monitoreo de cambios en listas de exclusión de soluciones de seguridad, la segmentación de privilegios administrativos y el despliegue de soluciones EDR con capacidad para detectar técnicas de sideloading y manipulación del PEB aumentan significativamente la resiliencia.
También es importante que los equipos de seguridad investiguen cualquier interacción automatizada con la interfaz de un antivirus —por ejemplo, movimientos inusuales del cursor o cambios recientes en reglas de exclusión— y que bloqueen o pongan en cuarentena ejecutables provenientes de dominios o infraestructuras maliciosas conocidas. Para quienes gestionan entornos Windows, revisar configuraciones de UAC y controlar el uso de herramientas RMM de terceros puede reducir la superficie de abuso.
La reutilización de software legítimo con fines maliciosos no es nueva, pero sí está ganando relevancia: permite a los atacantes capitalizar la confianza que los administradores depositan en utilidades comerciales y, al mismo tiempo, dificulta la respuesta inmediata. Por eso, más allá de parchear y actualizar, la defensa pasa por combinar controles técnicos, procedimientos de verificación y formación a usuarios para reconocer señuelos como avisos fiscales fraudulentos.
Si quieres profundizar en los detalles técnicos y en los indicadores de compromiso reportados, los análisis de la industria ofrecen material útil y verificado: además del estudio de eSentire, puede consultarse el historial y las fichas técnicas de Blackmoon por parte de Broadcom, los reportes de Unit42 y la investigación de Rapid7. Para quienes necesiten revisar muestras concretas, hay entradas públicas en repositorios de análisis como VirusTotal que documentan algunos de los componentes detectados.
En un mundo donde los atacantes combinan ingeniería social y abuso de herramientas legítimas, la mejor defensa es una mezcla de escepticismo informado, controles técnicos adecuados y colaboración entre equipos de seguridad y proveedores para compartir indicadores y mitigar rápidamente nuevas variantes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...