“SmokedHam”, con sorpresa: un backdoor que se hace pasar por enlaces a software habitua
Un clic erróneo en un enlace de un buscador puede dejarte sin todos tus datos.
A principios de 2026, los anuncios en los motores de búsqueda volvieron a ser una cómoda pantalla para ataques contra empresas europeas. Los especialistas de Orange Cyberdefense describieron cadenas de infección en las que, bajo apariencia de utilidades informáticas habituales, se distribuía la puerta trasera SmokedHam, y en uno de los incidentes la intrusión culminó con el ransomware Qilin. Según el equipo, detrás de la campaña podría estar una figura conocida entre los grupos de extorsión, vinculada a ataques sonados de años anteriores.
Desde febrero hasta principios de abril, Orange Cyberdefense CERT investigó varios incidentes aislados en tres clientes europeos. En todos los casos, los atacantes utilizaron publicidad maliciosa y camuflaron instaladores infectados como herramientas legítimas, incluidas RVTools y Remote Desktop Manager. Tras ejecutar el distribuidor falso, SmokedHam aparecía en los equipos.
En uno de los episodios, la infección no se limitó al acceso oculto. El ataque culminó con el despliegue de Qilin. Para ocultar su actividad, los operadores utilizaron dos soluciones de supervisión de empleados y mezclaron acciones maliciosas con herramientas administrativas habituales, entre ellas PuTTY, Kitty, Zoho Assist y Total Commander. Además, la infraestructura incluía Cloudflare Workers para ocultar la ruta real del tráfico y puntos finales estándar de AWS.
Orange Cyberdefense vincula la campaña con UNC2465 con confianza moderada. Los analistas indican que el grupo, o un socio relacionado, ya había participado en la distribución de DarkSide, LockBit y Hunters International. La conexión se establece por intersecciones en tácticas, técnicas e infraestructura.
Los autores del informe prestaron especial atención a SmokedHam. El equipo comparó más de 30 muestras recolectadas en 2025 y 2026 y concluyó que el operador cambia rápidamente sus herramientas. Las variantes difieren en los métodos de entrega y en la persistencia en el sistema, lo que indica una mejora continua del arsenal y una alta actividad de los atacantes.
Los especialistas también identificaron varios dominios maliciosos que se emplearon para distribuir SmokedHam. Esos sitios utilizaron un esquema de malvertising y entregaban archivos infectados haciéndolos pasar por programas de servicio populares. Según las observaciones de Orange Cyberdefense, desde comienzos de 2026 el interés de los atacantes se desplaza cada vez más hacia las organizaciones europeas.