Los investigadores de seguridad han identificado un marco de comando y control basado en JScript que está siendo explotado por actores alineados con China desde 2023. La pieza central de esta campaña es un conjunto de scripts conocido como PeckBirdy, una plataforma ligera pero versátil que aprovecha viejas tecnologías de scripting para abrir canales remotos sin dejar rastro persistente en disco.
Lo llamativo de PeckBirdy no es tanto su sofisticación críptica, sino su adaptabilidad: puede ejecutarse en navegadores web, a través de MSHTA, WScript, Classic ASP, Node.js e incluso desde .NET mediante ScriptControl. Esa capacidad multiplataforma le permite integrarse con lo que se conoce como "living-off-the-land binaries" (los binarios legítimos del sistema que se abusan para ejecutar código), una táctica que complica mucho la detección tradicional. Trend Micro publicó un análisis detallado en el que explican el funcionamiento y la evolución de esta amenaza, y es una lectura recomendable para quien quiera profundizar: informe de Trend Micro sobre PeckBirdy.
El mecanismo de entrega observado en una de las primeras oleadas fue la inyección de scripts en páginas web de apuestas chinas. Esos scripts actúan como cargadores remotos: consultan un servidor de control con un identificador asociado a la campaña (un "ATTACK ID" de 32 caracteres) y a partir de ahí descargan el siguiente eslabón, que puede variar según el entorno de ejecución. Un destinatario distinto recibe un "landing script" adaptado a su contexto, lo que permite tanto operaciones de robo de credenciales como la instalación de backdoors más complejos.
La comunicación con el servidor suele basarse en WebSockets, pero PeckBirdy tiene alternativas: utiliza objetos ActiveX (por ejemplo Adobe Flash en escenarios antiguos) o técnicas de Comet cuando WebSocket no está disponible. Después de inicializarse, el script genera un identificador único para la víctima, lo persiste y lo usa en posteriores comunicaciones, lo que facilita la gestión remota de múltiples objetivos desde la infraestructura de mando y control.
Entre los artefactos hallados en servidores asociados a la campaña, los investigadores encontraron desde utilidades para robar cookies hasta scripts que intentan explotar vulnerabilidades en motores de navegador. En particular apareció un exploit dirigido a un fallo en el motor V8 de Google Chrome (referido como CVE-2020-16040), que había sido parcheado en 2020. También detectaron pop-ups de ingeniería social que simulan actualizaciones legítimas de Chrome para inducir al usuario a descargar ejecutables maliciosos.
De la infraestructura ofensiva surgieron además dos puertas traseras modulares que los atacantes usan para mantener acceso: HOLODONUT, una backdoor .NET que se despliega mediante un descargador denominado NEXLOAD y que admite plugins; y MKDOOR, otro backdoor modular con capacidad para cargar, ejecutar o eliminar módulos. Estas herramientas permiten que la operación evolucione desde la intrusión inicial hacia espionaje continuado o movimientos laterales dentro de redes comprometidas.
Trend Micro ha identificado al menos dos conjuntos de intrusión temporales que usan PeckBirdy. Uno, rastreado como SHADOW-VOID-044, ha afectado principalmente a sitios de apuestas en China y ha servido como vector para distribuir payloads y exploits. El otro, denominado SHADOW-EARTH-045, observado desde julio de 2024, se ha orientado a instituciones gubernamentales y organizaciones privadas en Asia, incluyendo una entidad educativa en Filipinas, donde se inyectaron enlaces maliciosos en páginas de inicio de sesión para capturar credenciales.
Los analistas no atribuyen una única organización detrás de todo, sino que ven pistas que apuntan a la participación de grupos distintos pero con apoyos o tácticas similares. Entre esas señales está la presencia de la puerta trasera GRAYRABBIT en servidores vinculados a SHADOW-VOID-044 (análisis sobre GRAYRABBIT), coincidencias en certificados usados para firmar cargas y similitudes técnicas con campañas pasadas atribuidas a actores como Earth Lusca o APT41. Estas conexiones no son concluyentes por sí solas, pero ayudan a construir un panorama de actores que comparten infraestructura y métodos.
Desde el punto de vista de la defensa, PeckBirdy ejemplifica dos problemas recurrentes: por un lado, el abuso de binarios legítimos del sistema para ejecutar código malicioso complica la firma y detección en endpoints; por otro, los scripts dinámicos inyectados en memoria o servidos en tiempo real no dejan artefactos fáciles de analizar con soluciones tradicionales. Detectar y mitigar este tipo de amenazas exige combinar controles en varios niveles: endurecimiento de aplicaciones web, monitoreo de comportamiento en endpoints y análisis de tráfico de red, incluyendo conexiones WebSocket anómalas.
Para reducir la superficie de ataque conviene mantener navegadores y motores JavaScript actualizados, revisar y restringir el uso de herramientas como MSHTA y WScript en entornos donde no sean necesarias, y aplicar políticas de contenido (CSP) y Subresource Integrity (SRI) en sitios que sirvan contenido público. También es útil auditar regularmente páginas críticas en busca de inyecciones y contar con soluciones de entrega segura que puedan detectar cambios inesperados en recursos web. Recursos como el proyecto LOLBAS ofrecen una guía sobre binarios del sistema que suelen ser abusados y pueden servir para priorizar controles: LOLBAS. Para entender cómo los atacantes explotan binarios legítimos desde la perspectiva de técnicas y tácticas, la matriz MITRE ATT&CK es una referencia práctica: T1218 - Living off the land binaries y T1505.003 - Web Shell.
La detección temprana también puede apoyarse en señales de red: sesiones WebSocket hacia dominios no habituales, descargas de scripts desde recursos de terceros o respuestas que entreguen código JavaScript ofuscado deberían disparar alertas. En entornos corporativos, la segmentación de redes y el monitoreo de procesos que inician conexiones salientes desde servidores web pueden frenar el abuso de infraestructura legítima para movimiento lateral.
PeckBirdy no introduce una técnica nueva en sentido estricto, pero sí muestra cómo enemigos con recursos combinan herramientas antiguas y fiables, scripts dinámicos y una infraestructura flexible para operar con sigilo. Esto recuerda que la seguridad no es solo parchear vulnerabilidades aisladas, sino diseñar capas que compensen la capacidad de los atacantes para adaptar sus cargas al entorno de ejecución.
Si gestionas una web corporativa o administras sistemas críticos, revisar los controles de integridad de recursos web, limitar los binarios con capacidad de interpretación de scripts y reforzar la telemetría de red son medidas prácticas que reducen enormemente el riesgo de compromisos similares. Para quienes quieran profundizar en la descripción técnica y en las muestras analizadas, el reporte de Trend Micro ofrece información detallada y técnicas de detección: informe completo sobre PeckBirdy.
En última instancia, estas campañas sirven de recordatorio de que los atacantes aprovechan la heterogeneidad de entornos y tecnologías: las defensas más efectivas serán las que unan buenas prácticas de desarrollo web, gestión de parches, visibilidad de la red y políticas limpias en el uso de herramientas del sistema.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...