Al buscar un VPN les abres la puerta a los delincuentes: ya no necesitan hackear la red
Por qué el software pirata funciona tan bien como el origina
Buscar un cliente VPN corporativo en Internet puede terminar en el robo de credenciales. La campaña del grupo delictivo Storm-2561 muestra lo fácil que es convertir una búsqueda normal en una trampa con software malicioso.
Los especialistas de la unidad de análisis de amenazas de Microsoft detectaron una campaña en la que los atacantes distribuyen clientes VPN falsos mediante el llamado envenenamiento de resultados de búsqueda. El usuario busca en un motor de búsqueda software corporativo, por ejemplo el cliente Pulse Secure, y acaba en un sitio falso que se hace pasar por la página de un fabricante conocido. En lugar del instalador legítimo, el sitio ofrece descargar un archivo comprimido con malware.
Las acciones fueron atribuidas al grupo Storm-2561. El colectivo opera al menos desde mayo de 2025 y difunde regularmente malware a través de sitios falsos que imitan las páginas de proveedores populares. En esta campaña los atacantes se apoyaron en la confianza en los resultados de búsqueda. Los sitios falsos ascendían en las búsquedas con consultas como "Pulse VPN download" o "Pulse Secure client".
Al seguir el enlace, el usuario llegaba a una página que parecía oficial. El botón de descarga apuntaba a un repositorio del servicio GitHub, donde estaba el archivo VPN-CLIENT.zip. El repositorio se eliminó más tarde, pero durante el ataque el archivo se distribuía libremente.
Dentro del archivo había un instalador para Microsoft Windows que imitaba al cliente legítimo de Pulse Secure. Al ejecutarlo, el instalador creaba un directorio similar a la ruta de instalación real y colocaba allí el archivo Pulse.exe junto con las bibliotecas maliciosas dwmapi.dll e inspector.dll. Esa técnica hacía que el programa malicioso pareciera software legítimo.
El archivo dwmapi.dll actuaba como cargador y lanzaba código malicioso oculto que activaba la biblioteca inspector.dll. La biblioteca era una variante del infostealer Hyrax. El programa recopilaba las direcciones de los servidores VPN y las credenciales del usuario, y luego enviaba la información al servidor de mando y control de los atacantes.
Al instalador también le añadía credibilidad una firma digital. Los archivos maliciosos estaban firmados con un certificado válido de la empresa china Taiyuan Lihua Near Information Technology Co., Ltd. El certificado fue revocado posteriormente. El uso de una firma legítima ayudaba a evitar las advertencias del sistema de seguridad y reducía la probabilidad de detección del archivo malicioso.
Tras la instalación, el cliente VPN falso mostraba una interfaz de acceso casi idéntica a la del cliente real de Pulse Secure. El usuario introducía nombre y contraseña esperando conectarse a la red de la empresa. En lugar de conectarse, el programa interceptaba las credenciales y enviaba la información al servidor de los atacantes.
A continuación, el malware mostraba un mensaje de error de instalación y ofrecía descargar el cliente VPN legítimo desde el sitio oficial. En algunos casos el navegador abría automáticamente la página de descarga legítima. El usuario instalaba el cliente real, se conectaba a la red de la empresa y no notaba nada sospechoso. La instalación fallida del primer cliente la mayoría de usuarios la interpretaba como un problema técnico habitual.
Para mantener el acceso al sistema, el malware añadía una entrada en la clave RunOnce del registro de Windows. Tras reiniciar el equipo, el archivo Pulse.exe se volvía a ejecutar y continuaba operando en el sistema.
Según Microsoft, los atacantes emplearon varios dominios falsos, incluidos vpn-fortinet[.]com e ivanti-vpn[.]org. A través de esos sitios se distribuían versiones maliciosas de clientes VPN, disfrazadas como software de distintos fabricantes.
La campaña pone de manifiesto un esquema antiguo pero todavía eficaz. El usuario confía en los resultados de búsqueda, descarga el programa "oficial" e introduce voluntariamente las credenciales. Tras instalar el cliente VPN legítimo apenas quedan rastros de la compromisión, mientras que las credenciales robadas ya están en manos de los atacantes.