Anuncios maliciosos de utilidades informáticas: cómo los hackers se infiltran en empresas europeas mediante instaladores falsos
A principios de 2026, las organizaciones europeas se enfrentaron a una nueva ola de ciberataques en la que los atacantes utilizan anuncios maliciosos en motores de búsqueda para distribuir la puerta trasera SmokedHam disfrazada de herramientas informáticas legítimas. En algunos casos, el ataque culmina con la implementación del ransomware Qilin. Los expertos de Orange Cyberdefense vinculan la campaña con el grupo UNC2465, conocido anteriormente por ataques con DarkSide, LockBit y Hunters International.
Mecanismo del ataque: de los anuncios al control total
El ataque comienza con la compra de anuncios en motores de búsqueda que promocionan páginas de descarga falsas de utilidades populares para administradores de sistemas. Un usuario que busque, por ejemplo, RVTools o Remote Desktop Manager puede hacer clic en un anuncio y descargar un instalador malicioso. Una vez ejecutado, la puerta trasera SmokedHam se carga en el dispositivo, otorgando a los atacantes acceso remoto.
En un incidente investigado por Orange Cyberdefense, la infección llevó a la implementación del cifrador Qilin. Los operadores utilizaron métodos de ocultación sofisticados: emplearon dos soluciones diferentes de monitoreo de empleados, combinaron actividad maliciosa con herramientas administrativas legítimas (PuTTY, Kitty, Zoho Assist, Total Commander) y usaron Cloudflare Workers y endpoints estándar de AWS para enmascarar el tráfico.
SmokedHam: evolución de una puerta trasera
Los analistas de Orange Cyberdefense examinaron más de 30 muestras de SmokedHam recopiladas en 2025-2026. Descubrieron que los operadores modifican constantemente la herramienta: los métodos de entrega, las técnicas de persistencia y las vulnerabilidades explotadas cambian con el tiempo. Esto indica una alta actividad del grupo y un refinamiento continuo de su arsenal. La puerta trasera puede cargar módulos adicionales, lo que proporciona flexibilidad en la realización de ataques.
Quién está detrás de los ataques: el grupo UNC2465
Con una confianza moderada, Orange Cyberdefense vincula la campaña con UNC2465. Este grupo o un afiliado asociado ha estado involucrado anteriormente en ataques utilizando ransomware conocido como DarkSide, LockBit y Hunters International. La conclusión se basa en la superposición de tácticas, técnicas e infraestructura. Los atacantes están atacando activamente a organizaciones europeas, como lo demuestra la distribución geográfica de los incidentes de febrero a abril de 2026.
Puntos clave
- Los anuncios maliciosos en motores de búsqueda son un vector de intrusión inicial efectivo en empresas europeas.
- La puerta trasera SmokedHam se distribuye disfrazada de utilidades informáticas legítimas (RVTools, Remote Desktop Manager, PuTTY).
- En algunos ataques, SmokedHam va seguido de la implementación del cifrador Qilin.
- Los operadores utilizan múltiples capas de ocultación: herramientas administrativas legítimas, Cloudflare Workers, AWS.
- El grupo UNC2465, vinculado a ataques de ransomware anteriores, probablemente esté detrás de la campaña.
Contexto e implicaciones
El uso de malvertising para distribuir malware no es una táctica nueva, pero su efectividad está creciendo debido a la capacidad de dirigirse a grupos profesionales específicos. Los administradores de sistemas y profesionales de TI que buscan herramientas de trabajo se convierten en objetivos prioritarios. Dado que los ataques se dirigen a organizaciones europeas, las empresas deben reforzar los controles de descarga, implementar la autenticación multifactor y capacitar a los empleados para reconocer anuncios sospechosos.
Para la protección, se recomienda utilizar fuentes de descarga oficiales, verificar las firmas digitales de los instaladores y limitar los privilegios administrativos. También es importante monitorear el tráfico de red en busca de conexiones sospechosas a través de Cloudflare Workers o AWS.
— Editorial Team
Aún no hay comentarios.