Un nuevo caso de intrusión detectado por cazadores de amenazas vuelve a poner el foco en una combinación de ingeniería social y técnicas avanzadas de evasión que, juntas, facilitan ataques rápidos y silenciosos dentro de redes corporativas. Investigadores de Huntress documentaron cómo actores maliciosos se hicieron pasar por soporte técnico para convencer a empleados de que abrieran sesiones de acceso remoto, y a partir de ahí desplegaron el framework de comando y control conocido como Havoc con el objetivo aparente de exfiltrar datos o preparar un ataque de ransomware.
La cadena de ataque que describen los analistas comienza con una campaña de correo masivo diseñada no solo para pescar credenciales, sino para saturar bandejas de entrada y preparar el terreno para una llamada telefónica convincente. El teléfono no es un detalle menor: los atacantes llaman haciéndose pasar por la mesa de ayuda y persuaden a la víctima para que permita acceso remoto al equipo mediante herramientas legítimas como Quick Assist o aplicaciones de escritorio remoto como AnyDesk. Una vez dentro, el intruso no pierde tiempo: abre el navegador y guía al usuario hacia una página falsa alojada en la nube que imita un servicio de Microsoft para “actualizar” reglas antispam en Outlook.
Ese sitio apócrifo solicita el correo electrónico y, al pulsar un botón de “actualizar configuración”, ejecuta un script que muestra una superposición pidiendo la contraseña. Con ese doble movimiento los atacantes logran dos objetivos simultáneos: obtener credenciales y reforzar la sensación de legitimidad de la operación, lo que facilita la colaboración de la víctima. El supuesto parche antispam que se descarga no es benévolo: lo que aparenta ser un instalador legítimo ejecuta un binario confiable —por ejemplo, ADNotificationManager.exe o binarios del sistema— que a su vez sideloadea una DLL maliciosa. Esa DLL actúa como puerta de entrada para cargar el shellcode de Havoc y desplegar el agente conocido como Demon.
Los detalles técnicos del payload muestran un claro enfoque en burlar defensas: algunas de las DLL identificadas contenían ofuscación del flujo de control, bucles de retardo por temporización y técnicas sofisticadas como Halo's Gate y otras variaciones de “Hell’s Gate” para enganchar funciones de ntdll.dll y eludir hooks de EDR en espacio de usuario. Para contextualizar este tipo de tácticas, existen explicaciones técnicas sobre cómo se evaden los hooks de EDR y las implicaciones para la detección en ambientes corporativos en análisis como el de MalwareTech y estudios de investigación sobre cadenas de enganche en ntdll.
Tras establecer el “beachhead”, los atacantes se mueven con rapidez. Huntress documentó casos en los que la intrusión inicial se expandió a múltiples endpoints en cuestión de horas, combinando ejecución de comandos manual por atacante con despliegue automatizado para persistencia. Las técnicas para mantenerse dentro de la red incluyeron la creación de tareas programadas que relanzan el agente tras cada reinicio y, en ocasiones, la instalación de herramientas legítimas de gestión remota como Level RMM o XEOX para diversificar puntos de persistencia y complicar la remediación.
El patrón de ataque recuerda a operaciones previas atribuidas a grupos de ransomware que abusaron de campañas de “email bombing” y phishing por Microsoft Teams para forzar acciones, y plantea dos hipótesis sobre su origen: o bien ex afiliados de grupos como Black Basta están aplicando el mismo libreto en nuevos proyectos criminales, o bien otras bandas han adoptado ese playbook porque funcionó. Sea cual sea el caso, la lección es clara: tácticas que antes se consideraban dominio de actores altamente sofisticados se están volviendo más accesibles y comunes para grupos de crimen organizado que buscan acceso inicial y persistencia rápida.
Más allá del componente técnico, el punto más preocupante es la normalización de la ingeniería social telefónica y la disposición de los atacantes a llamar a números personales para mejorar la probabilidad de éxito. Cuando una llamada aparentemente creíble abre la puerta, técnicas complejas de evasión y carga de malware convierten esa entrada en un compromiso con alcance lateral y riesgo de exfiltración o cifrado masivo de datos.
Para defenderse en este escenario hay que combinar medidas humanas y técnicas: es imprescindible educar a empleados para que verifiquen la identidad de quien llama antes de permitir acceso a sus equipos y que desconfíen de solicitudes urgentes que impliquen conceder control remoto o introducir credenciales en páginas inusuales. Desde la capa tecnológica, la adopción de autenticación multifactor, la supervisión de tareas programadas, el control estricto sobre la instalación de software y la capacidad de las soluciones de seguridad para detectar comportamientos anómalos en vez de sólo firmas estáticas son barreras que reducen el éxito de estos ataques. Las agencias de ciberseguridad, como CISA, publican guías y alertas útiles sobre cómo mitigar riesgos vinculados a ransomware y compromisos iniciales por ingeniería social.
Este incidente es un recordatorio de que la seguridad no es únicamente un asunto de herramientas: es una disciplina que exige procesos, verificación humana y visión de defensa en profundidad. La combinación de un engaño telefónico convincente, el abuso de utilidades legítimas y técnicas avanzadas de evasión produce un enemigo capaz de entrar con mucha sutileza y moverse rápido dentro de una red. Mantenerse alerta, revisar procedimientos de acceso remoto y preparar planes de respuesta que contemplen remediación rápida son pasos indispensables para minimizar el daño cuando estos esquemas vuelven a aparecer.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...