Ni siquiera el sitio oficial garantiza seguridad: hackers convirtieron un popular editor de texto en herramienta de espionaje
Parece que se acabó la era de confiar ciegamente en las fuentes fiables.
A finales de diciembre de 2025 los desarrolladores del popular editor de texto EmEditor advirtieron a los usuarios sobre la compromisión de la página oficial de descarga del programa. Los delincuentes introdujeron de forma sigilosa una versión maliciosa del instalador, que se utiliza para distribuir un software malicioso multinivel capaz de robar datos, ocultarse de los mecanismos de defensa e infiltrarse en redes corporativas.
El editor EmEditor, desarrollado por la empresa estadounidense Emurasoft, es especialmente popular entre los desarrolladores en Japón. Este hecho, según especialistas, puede indicar una elección de víctima: bien un objetivo en un país concreto, bien una categoría específica de usuarios. La dificultad para detectar la actividad maliciosa se debe a que comienza solo después de finalizar la instalación, lo que aumenta la probabilidad de una presencia prolongada en el sistema sin ser detectada.
Según el análisis de Trend Micro, cuyos especialistas decidieron examinar detalladamente esta campaña maliciosa, el archivo instalador comprometido ejecutaba un comando de PowerShell que descargaba la primera etapa del código malicioso desde un sitio que se hacía pasar por legítimo. A continuación se descargaban dos scripts adicionales que contenían la carga útil principal. Su contenido estaba oculto mediante diversas técnicas de procesamiento de cadenas, como sustitución, eliminación y recorte, lo que dificulta el análisis.
Uno de estos scripts deshabilitaba el registro de eventos de PowerShell, robaba credenciales y comprobaba la presencia de soluciones de seguridad en el sistema. También podía tomar capturas de pantalla y detectar si se usaba un entorno virtual. El segundo script recopilaba información técnica del dispositivo, verificaba la ubicación geográfica y enviaba los datos a un servidor de control.
Toda la información recopilada se enviaba al servidor de control en la dirección «cachingdrive[.]com», y en la estructura del tráfico se repetía un identificador único, lo que indica el uso de la campaña con una etiqueta específica. Se conocen casos en los que los usuarios ya habían descargado el archivo infectado antes de la advertencia oficial de la empresa.
Según los especialistas, el incidente fue un recordatorio más de que incluso descargar programas desde fuentes oficiales no garantiza la seguridad. Para protegerse de ataques similares se recomienda verificar la firma digital y la integridad de los archivos de instalación, restringir la ejecución de PowerShell y monitorear activamente intentos de manipulación de los mecanismos de registro. Además, es importante limitar los privilegios de acceso y minimizar el número de cuentas con permisos elevados, así como supervisar regularmente su actividad.
Para los desarrolladores y proveedores de soluciones de software, la prioridad debe ser no solo garantizar la seguridad de las aplicaciones, sino también proteger la infraestructura de distribución. Los servidores de descarga requieren un control estricto y monitoreo constante, y a los usuarios hay que proporcionarles herramientas para verificar la autenticidad de los instaladores.