Se ha observado que los actores de amenazas utilizan n8n, una popular plataforma de automatización de flujo de trabajo de inteligencia artificial (IA), para facilitar campañas de phishing sofisticadas y entregar cargas útiles maliciosas o dispositivos de huellas dactilares mediante el envío de correos electrónicos automatizados.

«Al aprovechar la infraestructura confiable, estos atacantes evitan los filtros de seguridad tradicionales y convierten las herramientas de productividad en vehículos de entrega para un acceso remoto persistente», afirman los investigadores de Cisco Talos, Sean Gallagher y Omid Mirzaei. dicho en un análisis publicado hoy.

N8n es una plataforma de automatización del flujo de trabajo que permite a los usuarios conectar varias aplicaciones web, API y servicios de modelos de IA para sincronizar datos, crear sistemas agentes y ejecutar tareas repetitivas basadas en reglas.

Los usuarios pueden registrarse para obtener una cuenta de desarrollador sin costo adicional para aprovechar un servicio administrado alojado en la nube y ejecutar flujos de trabajo de automatización sin tener que configurar su propia infraestructura. Sin embargo, al hacerlo, se crea un dominio personalizado único que sigue el formato: .app.n8n.cloud: desde donde un usuario puede acceder a sus aplicaciones.

La plataforma también admite la capacidad de crear webhooks para recibir datos de aplicaciones y servicios cuando se activan ciertos eventos. Esto hace posible iniciar un flujo de trabajo después de recibir ciertos datos. Los datos, en este caso, se envían a través de una URL de webhook única.

Según Cisco Talos, son estos webhooks expuestos a URL los que utilizan el mismo *.app.n8n[.]subdominio de la nube: del que se ha abusado en ataques de phishing desde octubre de 2025.

«Un webhook, a menudo denominado ‘API inversa’, permite que una aplicación proporcione información en tiempo real a otra. Estas URL registran una aplicación como un ‘oyente’ para recibir datos, que pueden incluir contenido HTML extraído mediante programación», explicó Talos.

«Cuando la URL recibe una solicitud, se activan los siguientes pasos del flujo de trabajo, devolviendo resultados como un flujo de datos HTTP a la aplicación solicitante. Si se accede a la URL por correo electrónico, el navegador del destinatario actúa como la aplicación receptora y procesa la salida como una página web».

Lo que hace que esto sea significativo es que abre una nueva puerta para que los actores de amenazas propaguen malware mientras mantienen una apariencia de legitimidad al dar la impresión de que se originan en un dominio confiable.

Los actores de amenazas no perdieron el tiempo aprovechando el comportamiento para configurar URL de webhook n8n para la entrega de malware y la toma de huellas digitales del dispositivo. Se dice que el volumen de mensajes de correo electrónico que contienen estas URL en marzo de 2026 fue aproximadamente un 686% mayor que en enero de 2025.

En una campaña observada por Talos, se descubrió que los actores de amenazas incrustaban un enlace de webhook alojado en n8n en correos electrónicos que afirmaban ser un documento compartido. Al hacer clic en el enlace, el usuario accede a una página web que muestra un CAPTCHA que, al finalizar, activa la descarga de una carga útil maliciosa desde un host externo.

«Debido a que todo el proceso está encapsulado dentro del JavaScript del documento HTML, al navegador le parece que la descarga proviene del dominio n8n», señalaron los investigadores.

El objetivo final del ataque es entregar un ejecutable o un instalador MSI que sirva como conducto para versiones modificadas de herramientas legítimas de administración y monitoreo remoto (RMM) como Datto e ITarian Endpoint Management, y utilizarlas para establecer persistencia mediante el establecimiento de una conexión a un servidor de comando y control (C2).

Un segundo caso frecuente se refiere al abuso de n8n para la toma de huellas dactilares. Específicamente, esto implica incrustar en los correos electrónicos una imagen invisible o un píxel de seguimiento alojado en una URL de webhook n8n. Tan pronto como la misiva digital se abre a través de un cliente de correo electrónico, envía automáticamente una solicitud HTTP GET a la URL n8n junto con parámetros de seguimiento, como la dirección de correo electrónico de la víctima, lo que permite a los atacantes identificarla.

«Los mismos flujos de trabajo diseñados para ahorrar horas de trabajo manual a los desarrolladores ahora se están reutilizando para automatizar la entrega de malware y dispositivos de huellas digitales debido a su flexibilidad, facilidad de integración y automatización perfecta», dijo Talos. «A medida que continuamos aprovechando el poder de la automatización de código bajo, es responsabilidad de los equipos de seguridad garantizar que estas plataformas y herramientas sigan siendo activos y no pasivos».

El grupo de hackers norcoreano rastreado como APT37 (también conocido como ScarCruft) ha sido atribuido a una nueva campaña de ingeniería social de múltiples etapas en la que actores de amenazas se acercaron a objetivos en Facebook y los agregaron como amigos en la plataforma de redes sociales, convirtiendo el ejercicio de creación de confianza en un canal de entrega para un troyano de acceso remoto llamado RokRAT.

«El actor de amenazas utilizó dos cuentas de Facebook con su ubicación establecida en Pyongyang y Pyongsong, Corea del Norte, para identificar y examinar objetivos», dijo el Centro de Seguridad Genians (GSC) dicho en un desglose técnico de la campaña. «Después de generar confianza a través de solicitudes de amistad, el actor trasladó la conversación a Messenger y utilizó temas específicos para atraer objetivos como parte de la etapa inicial de ingeniería social del ataque».

Un elemento central del ataque es el uso de lo que el GSC describe como pretexto, una táctica en la que los actores de la amenaza pretenden engañar a los usuarios desprevenidos para que instalen un visor de PDF dedicado, alegando que el software era necesario para abrir documentos militares cifrados. El visor de PDF utilizado en la cadena de infección es una versión manipulada de Wondershare PDFelement que, cuando se inicia, desencadena la ejecución de un código shell incrustado que permite a los atacantes obtener un punto de apoyo inicial.

Otro aspecto importante de la campaña es que utiliza infraestructura legítima pero comprometida para comando y control (C2), utilizando como arma el sitio web asociado con el brazo de Seúl de un servicio de información inmobiliaria japonés para emitir comandos y cargas útiles maliciosas. Es más, la carga útil toma la forma de una imagen JPG aparentemente inofensiva para entregar RokRAT.

«Esto se considera una estrategia altamente evasiva que combina la manipulación de software legítimo, el abuso de un sitio web legítimo y el enmascaramiento de extensiones de archivos», dijo el GSC.

En la secuencia de ataque detallada por la compañía de ciberseguridad de Corea del Sur, se descubrió que los actores de amenazas crearon dos cuentas de Facebook, «richardmichael0828» y «johnsonsophia0414», ambas creadas el 10 de noviembre de 2025, y entregaron un archivo ZIP después de mover la conversación a Telegram, con el archivo que contiene la versión troyanizada de Wondershare PDFelement junto con cuatro documentos PDF y un archivo de texto que contiene instrucciones para instalar el programa para ver los archivos PDF.

El código shell cifrado ejecutado después del lanzamiento del instalador manipulado le permite establecer comunicación con el servidor C2 («japanroom[.]com») y descargue una carga útil de segunda etapa, una imagen JPG («1288247428101.jpg») que luego se utiliza para la carga útil final de RokRAT.

El malware, por su parte, abusa de Zoho WorkDrive como C2, una táctica también detallada por Zscaler ThreatLabz en febrero de 2026 como parte de una campaña con nombre en código Ruby Jumper, lo que le permite capturar capturas de pantalla, permitir la ejecución remota de comandos a través de «cmd.exe», recopilar información del host, realizar reconocimiento del sistema y evadir la detección de programas de seguridad como 360 Total Security de Qihoo, mientras disfraza el tráfico malicioso.

«Su funcionalidad principal se ha mantenido relativamente estable y se ha reutilizado repetidamente en múltiples operaciones a lo largo del tiempo», dijo el GSC. «Esto muestra que RokRAT se ha centrado menos en cambiar su funcionalidad principal y más en evolucionar su cadena de entrega, ejecución y evasión».