¿Pulsaste F12 y no apareció nada? Enhorabuena: los hackers ya te han descubierto y han borrado todas las pruebas.
Intento de forzar la cerradura dejó la puerta como una pared ciega.
El grupo SilverFox intensificó su actividad y cambió la táctica de sus ataques, poniendo el énfasis en la distribución masiva de software malicioso bajo la apariencia de programas populares. El equipo Knownsec 404 describió nuevas tácticas, que permiten a los atacantes eludir la verificación de código, enmascarar la infraestructura y escalar campañas contra organizaciones.
SilverFox se dirige principalmente a empleados de los niveles directivos y financieros. Los canales principales de entrega siguen siendo los mismos — los mensajeros WeChat y QQ, correos de phishing y sitios falsos con «herramientas». Tras la filtración del código fuente de Gh0st, el conjunto de herramientas se expandió y se volvió accesible para distintos participantes del mercado clandestino, lo que aumentó drásticamente la escala de los ataques.
Uno de los cambios clave es el comportamiento de las páginas de phishing. Los sitios maliciosos dificultan activamente el análisis: desactivan el clic derecho, bloquean combinaciones de teclas para abrir las herramientas de desarrollador y detectan intentos de activarlas mediante cambios en el tamaño de la ventana. Al detectar análisis, la página o bien se queda en blanco, o bien redirige al usuario. Este enfoque está pensado para especialistas que suelen revisar el código antes de ejecutar archivos.
Paralelamente, los atacantes presionan el comportamiento de los usuarios comunes. Cualquier clic en la página — incluso en los botones «Inicio» o «Contacto» — inicia la descarga de un archivo malicioso. Este esquema «universal» rompe la lógica habitual de la interfaz y aumenta la probabilidad de infección, aunque no se produce la ejecución automática de los archivos.
La infraestructura de dominios desempeña un papel importante. Los operadores registran direcciones casi indistinguibles de los recursos oficiales, añadiendo caracteres extra, cambiando zonas de dominio o usando designaciones regionales. Con frecuencia aparecen variantes vinculadas a regiones concretas, lo que disminuye las sospechas entre los usuarios. El análisis de más de 700 dominios mostró una concentración en regiones específicas de China, aunque en general el alcance sigue siendo amplio.
Otra característica es la producción masiva de ensamblados maliciosos. Los atacantes usan una arquitectura modular, combinando componentes como keyloggers, captura de pantalla y mecanismos de exfiltración de datos ocultos. La configuración se adapta al objetivo: en ataques contra entidades financieras se refuerza la recopilación de credenciales, y en ataques contra organizaciones gubernamentales se prioriza la evasión de los sistemas de detección.
Para la distribución utilizan plantillas de software falso. Entre ellas están supuestos servicios oficiales para trámites gubernamentales, suites de oficina, herramientas de acceso remoto, mensajeros y utilidades. La interfaz y el aspecto reproducen al máximo los originales; a veces se usan certificados de firma robados, lo que aumenta la confianza.
Los autores del informe señalan que SilverFox ha construido una cadena resistente de «creación — distribución — protección contra el análisis». La escalabilidad se logra mediante la automatización y la configuración flexible de los componentes maliciosos. La contramedida requiere un enfoque integral: monitorización de dominios, análisis del comportamiento de usuarios y sistemas, así como el aumento de la concienciación del personal y la coordinación entre organizaciones.