En las últimas semanas los investigadores han detectado una campaña de phishing sofisticada dirigida a usuarios en Rusia que combina engaños sociales con varias etapas de carga útil para obtener control total de los equipos y, en muchos casos, cifrar archivos. La operación se vale de documentos aparentemente administrativos, accesos a servicios en la nube públicos y técnicas que buscan desactivar las defensas nativas de Windows, lo que la convierte en un ejemplo claro de cómo los atacantes encadenan herramientas y servicios legítimos para evadir bloqueos. Para el análisis técnico y ejemplos concretos, puede consultarse el informe de Fortinet FortiGuard Labs en el que se documenta el flujo de la infección: Inside a multi-stage Windows malware campaign.
El ataque comienza con un gancho clásico pero efectivo: un archivo comprimido que contiene documentos de apariencia inofensiva y un acceso directo de Windows (LNK) con nombre en ruso diseñado para parecer un .txt. Ese atajo oculta una orden de PowerShell que descarga un script desde un repositorio público en GitHub. La estrategia de usar servicios como GitHub para scripts y Dropbox para binarios hace que la infraestructura sea resistente a las eliminaciones rápidas, porque separar funciones entre plataformas públicas complica la respuesta por parte de los proveedores y los equipos de seguridad.
El primer script que se ejecuta actúa como cargador ligero: oculta la ventana de PowerShell para que el usuario no perciba actividad, deja una copia «cebo» visible para mantener la ilusión y, mientras tanto, notifica al operador mediante la API de bots de Telegram. Esa notificación es la señal de que la fase inicial pasó sin errores y que el atacante puede seguir con las etapas posteriores. La técnica de mostrar un documento legítimo a la víctima mientras se ejecutan silenciosamente acciones maliciosas por detrás es una táctica social que reduce la probabilidad de que la víctima interrumpa el ataque.
Tras un retraso deliberado, el cargador recupera y ejecuta un fichero Visual Basic fuertemente ofuscado que construye el siguiente payload directamente en memoria. Al montar el código en memoria evitan dejar artefactos en disco y frustran muchas herramientas de detección tradicional. Si la carga no cuenta con privilegios elevados, el código molesta al usuario con cuadros de control de cuentas hasta que consiga elevarse; una vez con permisos administrativos, procede a desactivar y blindar el entorno para impedir la detección y la recuperación.
Las medidas que el malware aplica son variadas y preocupantes: modifica exclusiones y ajustes de Microsoft Defender, desactiva componentes de protección adicionales mediante PowerShell, utiliza una utilidad denominada Defendnot para registrar un falso producto de seguridad en el Centro de Seguridad de Windows y así provocar que Defender se desactive, y altera políticas en el registro para inutilizar herramientas administrativas y de diagnóstico. Microsoft aconseja activar la protección contra manipulaciones y monitorizar cambios inusuales en el servicio para mitigar el abuso de esta API; sus recomendaciones técnicas están disponibles en la base de conocimientos de Microsoft: Microsoft Defender vs Defendnot.
Además de neutralizar defensas, el actor descarga módulos adicionales que recopilan información y la filtran. Un módulo .NET toma capturas de pantalla periódicas y las envía vía Telegram, otros componentes extraen credenciales almacenadas en navegadores, monederos de criptomonedas y aplicaciones como Discord, Steam o Telegram, y también pueden registrar audio de micrófono, imágenes de la webcam y el contenido del portapapeles. Uno de los artefactos finales es un troyano de acceso remoto conocido como Amnesia RAT, recuperado desde Dropbox, que proporciona control remoto total: enumeración y terminación de procesos, ejecución de comandos, despliegue de payloads adicionales y exfiltración de datos por HTTPS o mediante servicios de alojamiento externo. Fortinet describe en detalle estas capacidades en su análisis técnico: ver informe de Fortinet.
La amenaza no se limita al espionaje: tras dejar el sistema inerte frente a herramientas de defensa, los atacantes despliegan una variante de ransomware derivada de la familia Hakuna Matata que cifra documentos, código fuente, imágenes y otros activos. Antes del cifrado, los procesos que pudieran interferir con su funcionamiento son terminados y, de forma silenciosa, el ransomware vigila el portapapeles para sustituir direcciones de criptomonederos por otras controladas por los atacantes. El resultado final en muchas máquinas es pérdida de acceso a información crítica y, en algunos casos, un bloqueo adicional de la interfaz del usuario mediante un componente tipo WinLocker.
Paralelamente, los equipos de respuesta han observado campañas relacionadas que usan técnicas y herramientas diferentes pero con objetivos similares. Por ejemplo, la operación denominada DupeHike, atribuida al actor UNG0902 y documentada por Seqrite Labs, utiliza señuelos sobre nóminas y políticas internas para inducir la ejecución de un implantador llamado DUPERUNNER que, a su vez, descarga el marco AdaptixC2. También han aparecido campañas de un actor conocido como Paper Werewolf o GOFFEE que empleó señuelos generados por inteligencia artificial y complementos XLL de Excel para entregar el backdoor EchoGather; Intezer explicó esa cadena y el uso de WinHTTP en la comunicación con el C2: análisis de Intezer.
¿Qué pueden hacer organizaciones y usuarios frente a esta clase de campañas? No existe una solución única, pero hay varias prácticas que reducen el riesgo. La primera línea de defensa es impedir la ejecución automática de código procedente de documentos y accesos directos que llegan por correo, y configurar políticas que limiten el uso de PowerShell y scripts en estaciones de trabajo que no lo requieran. Es importante activar mecanismos de integridad en los antivirus, como la protección contra manipulación que ofrecen las soluciones modernas, y aplicar controles de aplicación que eviten la ejecución de binarios desde ubicaciones temporales o de usuario. La segmentación de la red y la segregación de cuentas con privilegios, junto con copias de seguridad offline de datos críticos, reducen el impacto si se produce un cifrado masivo. Microsoft y otros proveedores publican guías específicas para mitigar abusos de la plataforma y recomendaciones operativas, y conviene que los equipos de seguridad revisen esos recursos y alertas regularmente.
Si una organización sospecha que ha sido comprometida por esta familia de amenazas, las acciones inmediatas deben incluir el aislamiento de hosts afectados para cortar la exfiltración, la recolección de evidencias en caliente con cuidado para no destruir trazas, la rotación de credenciales y la notificación a las entidades regulatorias y bancarias pertinentes si datos financieros han estado en riesgo. Un plan de respuesta ensayado y la colaboración con proveedores de servicios de seguridad pueden acelerar la recuperación. Para comprender el abuso concreto de Defendnot y cómo detectarlo, los equipos pueden referirse al análisis de Binary Defense y a materiales de respuesta publicados por proveedores de EDR y SOCs: Defendnot: turning Windows Defender against itself.
La lección técnica y operativa de estos incidentes es clara: los atacantes modernos logran compromisos totales sin explotar fallos de software, aprovechando en su lugar el abuso de funcionalidades legítimas del sistema y servicios en la nube. Eso obliga a combinar tecnología con procesos y formación; el usuario que recibe un ZIP con un LNK no debe abrirlo por defecto, y los administradores deben vigilar cambios en políticas de seguridad y en los indicadores de telemetría que anuncien ejecución de PowerShell no autorizada, conexiones a repositorios públicos inusuales o tráfico hacia servicios de mensajería y alojamiento de archivos desde estaciones que nunca los usan. La visibilidad, la prevención y un plan de respuesta son la mejor defensa frente a estas cadenas de ataque complejas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...