Microsoft llama la atención sobre una nueva campaña que ha aprovechado los mensajes de WhatsApp para distribuir archivos maliciosos de Visual Basic Script (VBS).

La actividad, que comenzó a finales de febrero de 2026, aprovecha estos scripts para iniciar una cadena de infección de varias etapas para establecer persistencia y permitir el acceso remoto. Actualmente no se sabe qué señuelos utilizan los actores de amenazas para engañar a los usuarios para que ejecuten los scripts.

«La campaña se basa en una combinación de ingeniería social y técnicas de vida de la tierra», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «Utiliza utilidades de Windows renombradas para integrarse en la actividad normal del sistema, recupera cargas útiles de servicios de nube confiables como AWS, Tencent Cloud y Backblaze B2, e instala paquetes maliciosos de Microsoft Installer (MSI) para mantener el control del sistema».

El uso de herramientas legítimas y plataformas confiables es una combinación mortal, ya que permite a los actores de amenazas integrarse en la actividad normal de la red y aumentar la probabilidad de éxito de sus ataques.

La actividad comienza cuando los atacantes distribuyen archivos VBS maliciosos a través de mensajes de WhatsApp que, cuando se ejecutan, crean carpetas ocultas en «C:\ProgramData» y eliminan versiones renombradas de utilidades legítimas de Windows como «curl.exe» (rebautizada como «netapi.dll») y «bitsadmin.exe» (rebautizada como «sc.exe»).

Al lograr un punto de apoyo inicial, los atacantes pretenden establecer persistencia y escalar privilegios, y en última instancia instalan paquetes MSI maliciosos en los sistemas de las víctimas. Esto se logra descargando archivos VBS auxiliares alojados en AWS S3, Tencent Cloud y Backblaze B2 utilizando los archivos binarios renombrados.

«Una vez que las cargas útiles secundarias están en su lugar, el malware comienza a alterar la configuración del Control de cuentas de usuario (UAC) para debilitar las defensas del sistema», dijo Redmond. «Intenta continuamente iniciar cmd.exe con privilegios elevados, reintentando hasta que la elevación de UAC se logra o el proceso finaliza por la fuerza, modificando las entradas del registro en HKLM\Software\Microsoft\Win e incorporando mecanismos de persistencia para garantizar que la infección sobreviva a los reinicios del sistema».

Estas acciones permiten a los actores de amenazas obtener privilegios elevados sin la interacción del usuario mediante una combinación de manipulación del Registro con técnicas de omisión de UAC y, en última instancia, implementar instaladores MSI no firmados. Esto incluye herramientas legítimas como AnyDesk que brindan a los atacantes acceso remoto persistente, lo que les permite extraer datos o implementar más malware.

«Esta campaña demuestra una cadena de infección sofisticada que combina ingeniería social (entrega de WhatsApp), técnicas sigilosas (herramientas legítimas renombradas, atributos ocultos) y alojamiento de carga útil basado en la nube», dijo Microsoft.

Investigadores de ciberseguridad han descubierto un conjunto de herramientas de acceso remoto de origen ruso que se distribuye a través de archivos maliciosos de acceso directo de Windows (LNK) disfrazados de carpetas de claves privadas. El kit de herramientas CTRL, según Censys, está diseñado a medida utilizando .NET e incluye varios ejecutables» para facilitar el phishing de credenciales, el registro de teclas, el secuestro del Protocolo de escritorio remoto (RDP) y el túnel inverso.

Los investigadores de ciberseguridad han detectado un nuevo malware denominado speagle que secuestra la funcionalidad y la infraestructura de un programa legítimo llamado Cobra DocGuard.

«Speagle está diseñado para recolectar subrepticiamente información confidencial de computadoras infectadas y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltración de datos como comunicaciones legítimas entre el cliente y el servidor», investigadores de Symantec y Carbon Black. dicho en un informe publicado hoy.

Cobra DocGuard es una plataforma de cifrado y seguridad de documentos desarrollada por EsafeNet. El abuso de este software en ataques del mundo real se ha registrado públicamente dos veces hasta la fecha. En enero de 2023, ESET documentó una intrusión en la que una empresa de juegos de azar en Hong Kong se vio comprometida en septiembre de 2022 mediante una actualización maliciosa impulsada por el software.

Más tarde, en agosto, Symantec destacó la actividad de un nuevo grupo de amenazas con nombre en código Carderbee, que se encontró usando una versión troyanizada del programa para implementar PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. Los ataques tuvieron como objetivo múltiples organizaciones en Hong Kong y otros países asiáticos.

Speagle permanece sin atribuir hasta la fecha. Pero lo que hace que el malware sea digno de mención es que está diseñado para recopilar y filtrar datos únicamente de aquellos sistemas que tienen instalado el software de protección de datos Cobra DocGuard. La actividad se rastrea bajo el nombre de Runningcrab.

«Esto indica un objetivo deliberado, posiblemente para facilitar la recopilación de inteligencia o el espionaje industrial», dijeron los equipos de caza de amenazas propiedad de Broadcom. «En la actualidad, creemos que las hipótesis más probables son que se trata del trabajo de un actor patrocinado por el Estado o de un contratista privado disponible para contratar».

Se desconoce exactamente cómo se entrega el malware a las víctimas, aunque se sospecha que pudo haber sido realizado a través de un ataque a la cadena de suministro, como lo demuestran los dos casos antes mencionados.

Además, merece una mención el papel central que juega el software de seguridad y su infraestructura. Speagle no solo utiliza un servidor Cobra DocGuard legítimo para comando y control (C2) y como punto de exfiltración de datos, sino que también invoca un controlador asociado con el programa para eliminarse del host comprometido.

El ejecutable .NET de 32 bits, una vez iniciado, primero verifica la carpeta de instalación de Cobra DocGuard y luego procede a recopilar y transmitir datos desde la máquina infectada en fases. Esto incluye detalles sobre el sistema y archivos ubicados en carpetas específicas, como aquellas que contienen el historial del navegador web y datos de autocompletar.

Es más, se ha descubierto que una variante de Speagle incorpora funcionalidad adicional para activar/desactivar ciertos tipos de recopilación de datos, así como buscar archivos relacionados con misiles balísticos chinos como Dongfeng-27 (también conocido como DF-27).

«Speagle es una nueva amenaza parasitaria que utiliza inteligentemente el cliente de Cobra DocGuard para enmascarar su actividad maliciosa y su infraestructura para ocultar el tráfico de exfiltración», dijeron los investigadores. «Sin duda, su desarrollador se dio cuenta de ataques anteriores a la cadena de suministro utilizando el software y puede haberlo seleccionado tanto por su vulnerabilidad percibida como por su alta tasa de uso entre las organizaciones objetivo».