Un informe reciente de la firma de inteligencia CTM360 revela una campaña activa que está aprovechando el ecosistema de Google para propagar malware y tomar control de cuentas corporativas. Según el análisis publicado por CTM360, los atacantes han creado miles de grupos en Google Groups y cientos de enlaces alojados en los servicios de Google para ganar confianza y distribuir herramientas diseñadas para robar credenciales y mantener acceso persistente en equipos afectados. Puedes consultar el informe completo en el sitio de CTM360: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer.
La ingeniería social es el punto de partida: los operadores se infiltran en foros y grupos temáticos donde se discuten cuestiones técnicas legítimas y publican entradas que parecen soluciones o descargas útiles, incluyendo nombres de empresas y palabras clave del sector para dar apariencia de autenticidad. Dentro de esos hilos colocan enlaces disfrazados —por ejemplo, invitaciones a “descargar” herramientas supuestamente específicas para una organización— y usan acortadores o redirecciones alojadas en Docs y Drive para evadir filtros y ocultar la cadena final de entrega.
En equipos con Windows la descarga conducía a un archivo comprimido protegido por contraseña. Al descomprimirse, el volumen real del archivo engaña a los motores de detección: el contenedor puede expandirse hasta casi un gigabyte, pero el componente malicioso ocupa solo una fracción (según CTM360, alrededor de 33 MB), mientras que el resto se rellena con bytes nulos para dificultar el escaneo estático. Al ejecutarse, el instalador reconstruye binarios fragmentados y lanza un componente compilado con AutoIt que desencripta una carga en memoria. El comportamiento observado coincide con el de un infostealer comercial conocido como Lumma, que apunta a credenciales de navegadores y cookies de sesión, ejecuta comandos en shell y exfiltra datos mediante solicitudes HTTP POST hacia servidores de mando y control identificados por los investigadores. CTM360 proporciona indicadores como dominios y hashes asociados que permiten la detección y bloqueo de esta infraestructura.
Para usuarios de Linux la trampa tiene otra cara: en lugar de un ZIP pesadamente relleno, las víctimas son dirigidas a instalar un navegador Chromium modificado bajo la marca “Ninja Browser”. A primera vista promete privacidad y anonimato, pero en segundo plano integra extensiones maliciosas que se instalan sin el consentimiento del usuario y mecanismos ocultos para mantener la presencia del atacante en el sistema. Una de esas extensiones, analizada por CTM360, actúa como un agente de seguimiento y manipulación: asigna identificadores únicos a usuarios, inyecta scripts en sesiones web, gestiona pestañas y cookies y descarga contenido remoto utilizando JavaScript fuertemente ofuscado.
Los investigadores también hallaron tareas programadas que consultan servidores controlados por los atacantes a diario, procedimientos de actualización silenciosa y redirecciones a motores de búsqueda sospechosos, lo que sugiere una arquitectura pensada para evoluciones futuras del ataque. Entre los dominios vinculados al proyecto figuran variantes relacionadas con “ninja-browser”, y CTM360 lista también direcciones IP y un dominio de C2 (por ejemplo, healgeni[.]live) que permiten a los equipos de seguridad bloquear y rastrear actividad maliciosa.
Este tipo de campañas encaja en una tendencia que ya han documentado múltiples actores del sector seguridad: el abuso de plataformas legítimas y servicios en la nube para distribuir código malicioso reduce la fricción y explota la presunción de confianza de usuarios y filtros. Desde phishing con documentos alojados en Google Drive hasta cargas útiles que descansan en servicios de archivo legítimos, el uso de infraestructuras “de confianza” complica la detección tradicional; es un patrón que se ha observado en incidentes previos y que analistas de seguridad han venido advirtiendo en últimos años, como reflejan reportes de prensa especializada y análisis técnicos sobre abuso de servicios en la nube (ver por ejemplo el seguimiento general sobre este tipo de ataques publicado por KrebsOnSecurity).
Desde el punto de vista técnico, las técnicas utilizadas por los operadores —padding de binarios para evitar análisis, reconstrucción en tiempo de ejecución con AutoIt y cargas en memoria— no son novedades por sí mismas, pero su combinación con la visibilidad que proporciona alojar elementos en dominios y servicios reputados les da eficacia. Empresas de seguridad como ESET han documentado cómo se abusa de AutoIt y otros lenguajes scripting para empaquetar y ejecutar cargas maliciosas, y por ello conviene que los equipos de respuesta estén atentos a indicadores de comportamiento más que a señales estáticas: WeLiveSecurity / ESET ofrece explicaciones útiles sobre estas técnicas.
Las consecuencias para las organizaciones pueden ser graves: el robo de credenciales y tokens de sesión facilita el secuestro de cuentas, el fraude financiero y el movimiento lateral dentro de redes corporativas, mientras que los componentes instalados furtivamente pueden funcionar como puertas traseras para futuras operaciones. Por eso los equipos de seguridad deben combinar medidas técnicas y formación: revisar cadenas de redirección (especialmente las que pasan por Docs/Drive), bloquear indicadores de compromiso a nivel de firewall y EDR, auditar extensiones de navegador y vigilar la creación de tareas programadas o procesos inusuales en los endpoints. CTM360 sugiere un conjunto similar de acciones y publica IoC que facilitan su incorporación en reglas de detección; el informe está disponible en: CTM360 — Ninja Browser & Lumma Infostealer.
Para contextualizar estas recomendaciones en buenas prácticas más generales, los responsables de identidad y acceso deberían revisar guías de protección de credenciales y detección de abuso de cuentas públicas, como las que ofrece Microsoft en sus documentos técnicos sobre protección de identidad, y aplicar controles de acceso basados en riesgo y autenticación multifactor donde sea posible. Las guías de Microsoft sobre defensa frente al robo de credenciales y gestión de identidades son un buen punto de partida: Microsoft — Identity Protection. Además, los usuarios deben recibir formación práctica para reconocer señales de fraude en foros públicos y evitar instalar software desde fuentes no verificadas; materiales de concienciación y ejercicios de phishing ayudan a reducir la probabilidad de que este tipo de señuelos tenga éxito.
En el plano operativo, incorporar la vigilancia de amenazas externas que monitoricen foros, páginas y servicios de hosting usados por terceros es cada vez más necesario. Herramientas que detectan cambios en dominios relacionados con la marca, la aparición de descargas sospechosas o la utilización de servicios legítimos para redirigir tráfico malicioso aportan visibilidad temprana. CTM360, junto con otros proveedores de inteligencia, mantiene listados actualizados de dominios, IPs y hashes asociados al ataque; su reporte incluye datos que pueden integrarse en soluciones de bloqueo y en procesos de respuesta a incidentes.
La campaña descrita por CTM360, que combina un infostealer comercial con un navegador trojanizado y un uso estratégico de servicios de confianza, es un recordatorio de que la seguridad moderna exige atender tanto a la técnica como al factor humano. Mantener los canales de comunicación con proveedores de seguridad, distribuir indicadores de compromiso rápidamente y reforzar la higiene digital de los usuarios son acciones que reducen el impacto de ataques de este tipo. Para quien desee profundizar en los hallazgos y aprovechar los IoC proporcionados por los investigadores, el informe original está disponible en la web de CTM360: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...