Noticias de actualidad como cebo: por qué el phishing se ha vuelto más efectivo en medio de las crisis geopolíticas
Hackers se adaptan al caos global más rápido que los medios
Especialistas de Zscaler registraron una nueva oleada de ataques vinculada a un grupo cibernético chino centrado en países del Golfo Pérsico. La campaña comenzó en las primeras 24 horas tras el recrudecimiento del conflicto en Oriente Medio y se adaptó rápidamente a la agenda informativa, usando el tema de ataques con misiles como señuelo.
El ataque empezaba con un archivo ZIP que contenía un archivo con doble extensión, disfrazado de PDF. Al abrirlo se activaba una cadena de descarga de componentes maliciosos. Primero el sistema descargaba un archivo CHM desde un servidor remoto, luego extraía elementos adicionales, incluido un documento falso en árabe que describía un ataque con misiles de Irán contra una base estadounidense en Baréin. Ese archivo se usaba como distracción.
Las etapas posteriores incluían la ejecución de un segundo acceso directo, la descompresión del archivo en un directorio del sistema y la ejecución de un programa que imitaba software legítimo. Mediante un mecanismo de carga de bibliotecas los atacantes implantaban una DLL maliciosa que permanecía en el sistema y descifraba el código útil principal.
El elemento clave del ataque fue la puerta trasera PlugX. El malware se ocultaba mediante cifrado multinivel y algoritmos complejos que dificultaban el análisis. El código empleaba técnicas de ofuscación de la lógica de ejecución y enmascaraba las llamadas a la API, lo que aumentaba el tiempo de análisis y reducía la eficacia de las soluciones de protección.
Tras la activación, PlugX obtenía la capacidad de controlar el sistema infectado a través de varios canales de comunicación, incluidos HTTPS y DNS-over-HTTPS. La puerta trasera recopilaba información del sistema, vigilaba archivos y procesos, y también soportaba la descarga de módulos adicionales, entre ellos herramientas para el registro de pulsaciones, gestión de red y acceso remoto.
El análisis de las técnicas utilizadas, las claves de cifrado y la estructura del código mostró similitudes con campañas previamente conocidas vinculadas al grupo Mustang Panda. Otro factor fue la rapidez con la que se adaptaron a los acontecimientos geopolíticos — una característica habitual de este tipo de operadores.
El informe subraya una tendencia: los atacantes recurren cada vez más a noticias de actualidad para aumentar la eficacia de las campañas de phishing. En esos contextos, los archivos maliciosos se disfrazan de comunicaciones urgentes y se distribuyen contando con reacciones rápidas por parte de los usuarios.