Una campaña de phishing de múltiples frentes está dirigida a usuarios de habla hispana en organizaciones de América Latina y Europa para entregar troyanos bancarios de Windows como Casbaneiro (también conocido como Metamorfo) a través de otro malware llamado Horabot.

La actividad se ha atribuido a un actor brasileño de amenazas de delitos cibernéticos rastreado como Augmented Marauder y Water Saci. Trend Micro documentó por primera vez al grupo de delitos electrónicos en octubre de 2025.

«Este grupo de amenazas emplea un modelo de ataque de mayor alcance centrado en un mecanismo de entrega y propagación personalizado que incluye WhatsApp, técnicas ClickFix y phishing centrado en el correo electrónico», dijeron los investigadores de seguridad de BlueVoyant, Thomas Elkins y Joshua Green. dicho en un desglose técnico publicado el martes.

«Ahora es evidente que, si bien estos operadores con sede en Brasil aprovechan en gran medida la automatización de WhatsApp basada en scripts para comprometer a los usuarios minoristas y consumidores en América Latina, al mismo tiempo mantienen e implementan un motor avanzado de secuestro de correo electrónico para penetrar los perímetros empresariales allí y también en Europa».

El punto de partida de la campaña es un correo electrónico de phishing que emplea mensajes con temas de citaciones judiciales para engañar a los destinatarios para que abran un archivo PDF adjunto protegido con contraseña. Al hacer clic en un enlace incrustado en el documento, la víctima dirige a un enlace malicioso e inicia una descarga automática de un archivo ZIP, lo que, a su vez, conduce a la ejecución de la aplicación HTML provisional (HTA) y cargas útiles VBS.

El script VBS está diseñado para llevar a cabo comprobaciones ambientales y antianálisis similares a las que se encuentran en los artefactos de Horabot, incluidas comprobaciones del software antivirus Avast, y procede a recuperar las cargas útiles de la siguiente etapa desde un servidor remoto. Entre los archivos descargados se encuentran cargadores basados ​​en AutoIt, cada uno de los cuales extrae y ejecuta archivos de carga útil cifrados con extensiones «.ia» o «.at» para eventualmente lanzar dos familias de malware: Casbaneiro («staticdata.dll») y Horabot («at.dll»).

Si bien Casbaneiro es la carga útil principal, Horabot se utiliza como mecanismo de propagación del malware. El módulo Delphi DLL de Casbaneiro se pone en contacto con un servidor de comando y control (C2) para obtener un script de PowerShell que emplea Horabot para distribuir el malware a través de correos electrónicos de phishing a contactos recopilados de Microsoft Outlook.

«En lugar de distribuir un archivo estático o un enlace codificado como se ve en campañas anteriores de Horabot, este script inicia una solicitud HTTP POST a una API PHP remota (hxxps://tt.grupobedfs[.]com/…/gera_pdf.php), pasando un PIN de cuatro dígitos generado aleatoriamente», dijo BlueVoyant.

«El servidor falsifica dinámicamente un PDF personalizado, protegido con contraseña, que se hace pasar por una citación judicial española, que se devuelve al host infectado. Luego, el script recorre la lista de correo electrónico filtrada, utilizando la propia cuenta de correo electrónico del usuario comprometido para enviar un correo electrónico de phishing personalizado con el PDF recién generado adjunto».

También se utiliza en conjunto una DLL secundaria relacionada con Horabot («at.dll») que funciona como una herramienta de spam y secuestro de cuentas dirigida a cuentas de Yahoo, Live y Gmail para enviar correos electrónicos de phishing a través de Outlook. Horabot es Se estima que se utilizará en ataques dirigidos a América Latina desde al menos noviembre de 2020.

Water Saci tiene un historial de uso de WhatsApp Web como vector de distribución para difundir troyanos bancarios como Maverick y Casbaneiro en forma de gusano. Sin embargo, las campañas recientes destacadas por Kaspersky han apalancado la táctica de ingeniería social de ClickFix para engañar a los usuarios para que ejecuten archivos HTA maliciosos con el objetivo final de implementar Casbaneiro y el esparcidor Horabot.

«En conjunto, la integración de la ingeniería social de ClickFix, junto con la generación dinámica de PDF y la automatización de WhatsApp, demuestra un adversario ágil que continuamente innova y ejecuta diversas rutas de ataque para eludir los controles de seguridad modernos», concluyeron los investigadores.

«Este adversario mantiene una infraestructura de ataque bifurcada y de múltiples frentes, implementando dinámicamente la cadena Maverick centrada en WhatsApp y utilizando simultáneamente rutas de ataque ClickFix y Horabot basadas en correo electrónico».

Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones críticas en América del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.

La actividad está siendo rastreado por Cisco Talos bajo el apodo UAT-9244describiéndolo como estrechamente asociado con otro grupo conocido como FamousSparrow.

Vale la pena señalar que se considera que FamousSparrow comparte superposiciones tácticas con Salt Typhoon, un grupo de espionaje del nexo con China conocido por apuntar a proveedores de servicios de telecomunicaciones. A pesar de la huella similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.

En la campaña analizada por la empresa de ciberseguridad, se descubrió que las cadenas de ataque distribuyen tres implantes previamente no documentados: TernDoor dirigido a Windows, PeerTime (también conocido como Angrypeer) dirigido a Linux y BruteEntry, que se instala en dispositivos de borde de red.

Se desconoce el método de acceso inicial exacto utilizado en los ataques, aunque el adversario se ha dirigido previamente a sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para lanzar shells web para actividades posteriores.

TernDoor se implementa mediante carga lateral de DLL, aprovechando el ejecutable legítimo «wsprint.exe» para iniciar una DLL maliciosa («BugSplatRc64.dll») que descifra y ejecuta la carga útil final en la memoria. Se dice que UAT-9244 ha utilizado la puerta trasera, una variante de Crowdoor (en sí misma una variante de SparrowDoor), desde al menos noviembre de 2024.

Establece persistencia en el host mediante una tarea programada o la clave Ejecutar registro. También presenta diferencias con CrowDoor al utilizar un conjunto dispar de códigos de comando e incorporar un controlador de Windows para suspender, reanudar y finalizar procesos. Además, solo admite un modificador de línea de comandos («-u») para desinstalarse del host y eliminar todos los artefactos asociados.

Una vez iniciado, ejecuta una verificación para asegurarse de que se haya inyectado en «msiexec.exe», después de lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Posteriormente, establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer/escribir archivos, recopilar información del sistema e implementar el controlador para ocultar componentes maliciosos y administrar procesos.

Un análisis más detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de una puerta trasera de igual a igual (P2P) de Linux denominada PeerTime, que está compilada para varias arquitecturas (es decir, ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas integrados. La puerta trasera ELF, junto con un binario de instrumento, se implementa mediante un script de shell.

«El binario Instrumentor ELF comprobará la presencia de Docker en el host comprometido utilizando los comandos docker y docker –q», dijeron los investigadores de Talos Asheer Malhotra y Brandon White. «Si se encuentra Docker, se ejecuta el cargador PeerTime. El instrumento consta de cadenas de depuración en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de habla china».

El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una versión escrita en C/C++ y una variante más nueva programada en Rust. Además de tener la capacidad de cambiarse el nombre a sí mismo como un proceso inofensivo para eludir la detección, la puerta trasera emplea el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.

También se encuentran en los servidores del actor de amenazas un conjunto de scripts de shell y cargas útiles, incluido un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo dentro de una Operational Relay Box (ORB) capaz de forzar servidores Postgres, SSH y Tomcat por fuerza bruta.

Esto se logra mediante un script de shell que coloca dos componentes basados ​​en Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la lista de direcciones IP a las que se dirigirán los ataques de fuerza bruta. En última instancia, la puerta trasera informa los inicios de sesión exitosos al servidor C2.

«El ‘éxito’ indica si la fuerza bruta tuvo éxito (verdadero o falso), y las ‘notas’ proporcionan información específica sobre si la fuerza bruta tuvo éxito», dijo Talos. «Si el inicio de sesión falló, la nota dice ‘Se intentaron todas las credenciales’».