En las últimas semanas los investigadores de seguridad dieron con una campaña que combina técnicas clásicas de ingeniería social con un código cada vez más sofisticado: un nuevo backdoor bautizado como PDFSider está siendo usado para abrir puertas silenciosas en entornos Windows y facilitar despliegues de ransomware contra empresas de alto perfil, incluido al menos un objetivo dentro de la lista Fortune 100 del sector financiero.
El punto de entrada no es un exploit cero-day estrafalario, sino una mezcla calculada de señuelos y abuso de confianza. Los atacantes envían correos dirigidos (spearphishing) que contienen un archivo ZIP. Dentro de ese ZIP llega una copia legítima y firmada digitalmente del instalador de PDF24 Creator, una aplicación conocida cuya web oficial es pdf24.org. Junto a ese ejecutable legítimo colocan una librería DLL manipulada llamada cryptbase.dll; cuando el .EXE carga la DLL maliciosa, el código del atacante se ejecuta dentro del proceso legítimo. Esta técnica, conocida como DLL side‑loading, aprovecha la confianza que el sistema y las soluciones de seguridad otorgan a binarios firmados.
Los detalles técnicos del malware fueron publicados por la firma que lo descubrió durante una respuesta a incidente. Resecurity describe a PDFSider como un backdoor diseñado para permanecer oculto y mantener acceso persistente, con características que recuerdan más a la ciberespionaje dirigido que al malware puramente orientado a obtener un rescate rápido.
Además del señuelo del instalador, en algunas variantes los correos llevan documentos señuelo que parecen hechos a la medida de la víctima: PDFs con autores falsos que fingían pertenecer a entidades gubernamentales para dar verosimilitud y aumentar la probabilidad de que el destinatario ejecute el adjunto. En otras operaciones los atacantes recurrieron a ingeniería social por llamada, haciéndose pasar por personal de soporte técnico y tratando de convencer a empleados para que instalaran herramientas remotas como la utilidad de asistencia de Microsoft —una maniobra que facilita la toma de control interactiva de sistemas con el consentimiento directo de la víctima.
Cuando la DLL maliciosa se carga, hereda los permisos del ejecutable legítimo que la llamó, lo que puede permitir a los atacantes saltarse controles y avivar movimientos laterales en la red interna. PDFSider además evita dejar rastro en disco al cargar buena parte de su código directamente en memoria y emplea tubos anónimos para ejecutar comandos por CMD, técnicas que dificultan la detección por EDR y otros mecanismos basados en análisis de archivos.
La comunicación con la infraestructura de mando y control también está pensada para camuflarse: los equipos infectados reciben un identificador único, recaban información del sistema y la transmiten al servidor del atacante usando peticiones DNS por el puerto 53, un canal que a menudo pasa desapercibido en muchas redes. Para proteger la confidencialidad e integridad de estas sesiones, PDFSider utiliza la librería criptográfica Botan en su versión 3.0.0 y cifrado AEAD con AES‑256‑GCM, descifrando los datos en memoria para minimizar artefactos persistentes en el host. Puede consultarse la documentación general de Botan en botan.randombit.net.
El uso de AES‑GCM y de una librería madura como Botan es significativo: no se trata de la improvisación de un script kiddie, sino de una implementación orientada a mantener comunicaciones seguras y resistentes al análisis. Aún más, el malware incorpora medidas de anti‑análisis como comprobaciones del tamaño de la RAM y detección de depuradores para abortar su ejecución si parece que está corriendo dentro de un sandbox o en un entorno de investigación.
Resecurity señala que PDFSider ha sido observado en ataques vinculados al ransomware Qilin, aunque su equipo de búsqueda de amenazas ha visto el backdoor siendo reutilizado por distintos actores con motivos económicos. Esa flexibilidad es peligrosa: un componente diseñado para permanecer oculto y ofrecer control remoto puede ser aprovechado tanto por grupos con fines de espionaje como por bandas de ransomware que quieran conservar un acceso previo al despliegue de cifrado.
El arma en esta campaña no es una vulnerabilidad exótica, sino el aprovechamiento de software legítimo y firmado que carga librerías de forma esperada. Esa clase de abuso es conocida y está documentada dentro del marco de técnicas de atacante: la base MITRE ATT&CK recoge y clasifica variantes de carga de DLL como técnicas que permiten ejecución de código mediante binarios confiables; su ficha técnica puede consultarse en MITRE ATT&CK — DLL Side‑Loading.
¿Qué lecciones prácticas deja este incidente? Primero, que la confianza en la firma digital de un ejecutable no es por sí sola garantía de seguridad: firmas válidas pueden ser usadas como caballo de Troya si el binario carga librerías locales manipulables. Segundo, que las campañas efectivas combinan ingeniería social con técnicas técnicas para evadir detección, por lo que la protección debe ser tanto tecnológica como humana. Tercero, que los defensores deben prestar atención a canales aparentemente benignos como DNS y a procesos que, aunque legítimos, muestran comportamientos inusuales al ejecutar componentes externos.
En el terreno operativo, conviene revisar las políticas de ejecución de software y las rutas de búsqueda de DLL en estaciones y servidores críticos, endurecer la gestión de privilegios y aplicar controles que restrinjan la instalación de herramientas remotas sin autorización. También es importante contar con detección de anomalías en tráfico DNS y telemetría de memoria y procesos, así como un plan de respuesta que contemple la identificación y contención de puertas traseras que actúen en memoria.
Para organizaciones que buscan referencias y marcos de actuación, las guías colectivas sobre ransomware y respuesta a incidentes del gobierno y agencias de ciberseguridad ofrecen pautas útiles; por ejemplo, la iniciativa estadounidense para frenar el ransomware recopila recomendaciones y casos de uso en CISA — Stop Ransomware. Y para quien quiera profundizar en el informe técnico sobre PDFSider, la nota de Resecurity contiene un análisis técnico detallado que vale la pena revisar: Informe de Resecurity sobre PDFSider.
En definitiva, PDFSider es un recordatorio de que los atacantes combinan ingeniería social, abuso de confianza y buenas prácticas técnicas para crear amenazas difíciles de detectar. Protegerse exige una estrategia integral que no solo despliegue herramientas de seguridad, sino que también eduque a las personas, controle la superficie de ejecución del software y monitorice canales de comunicación que tradicionalmente se consideran inofensivos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...