{"id":1249,"date":"2026-06-19T15:31:09","date_gmt":"2026-06-19T15:31:09","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/la-operacion-endgame-interrumpe-los-servidores-de-socgholish-y-limpia-14-971-sitios-de-wordpress-cyberdefensa-mx\/"},"modified":"2026-06-19T15:31:09","modified_gmt":"2026-06-19T15:31:09","slug":"la-operacion-endgame-interrumpe-los-servidores-de-socgholish-y-limpia-14-971-sitios-de-wordpress-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/la-operacion-endgame-interrumpe-los-servidores-de-socgholish-y-limpia-14-971-sitios-de-wordpress-cyberdefensa-mx\/","title":{"rendered":"La operaci\u00f3n Endgame interrumpe los servidores de SocGholish y limpia 14.971 sitios de WordPress \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Las autoridades policiales holandesas, junto con sus hom\u00f3logas de Canad\u00e1 <\/a> Alemania y EE. UU. han interrumpido la infraestructura maliciosa asociada con SocGholish y han limpiado casi 15.000 sitios web infectados de WordPress.<\/p>\n

\u00abCon estas acciones privamos a los ciberdelincuentes del acceso a sistemas inform\u00e1ticos infectados\u00bb, Maikel Rollman, de la Unidad Nacional de Delitos de Alta Tecnolog\u00eda de los Pa\u00edses Bajos. dicho<\/a>.<\/p>\n

\u00abEsto evita mayores da\u00f1os a los sistemas digitales de ciudadanos, empresas y organizaciones de todo el mundo y limita la propagaci\u00f3n de malware. Tambi\u00e9n reduce el riesgo de que estos sistemas se utilicen para ciberataques a infraestructuras cr\u00edticas y otros procesos sociales esenciales. Esto marca el comienzo de nuevas acciones contra SocGholish\u00bb.<\/p>\n

El derribo es parte de Operaci\u00f3n final<\/a>una iniciativa internacional en curso de aplicaci\u00f3n de la ley para combatir las botnets y las infraestructuras criminales asociadas. Fue lanzado en 2024.<\/p>\n

Como parte del esfuerzo, 106 servidores vinculados a SocGholish han sido desactivados y 14.971 sitios de WordPress han sido eliminados de las infecciones. Se ha notificado a los propietarios de sitios web para que actualicen su sistema de gesti\u00f3n de contenidos (CMS), cambien sus credenciales y eliminen cualquier cuenta sospechosa.<\/p>\n

Activo desde 2017 y tambi\u00e9n conocido como FakeUpdates, SocGholish es un malware de descarga basado en JavaScript (JS) que normalmente sirve como conducto para el malware de siguiente etapa de varios actores de amenazas como Evil Corp (tambi\u00e9n conocido como DEV-0243, Indrik Spider y UNC2165), LockBit, RansomHub, Dridex y Raspberry Robin (tambi\u00e9n conocido como Roshtyak). <\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se distribuye a trav\u00e9s de sitios web comprometidos haci\u00e9ndose pasar por actualizaciones enga\u00f1osas para navegadores web como Google Chrome o Mozilla Firefox y otro software popular. Los operadores del malware han sido rastreados bajo varios alias, como Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 y UNC1543.<\/p>\n

\u00abLas infecciones de SocGholish normalmente se originan en sitios web comprometidos que han sido infectados de m\u00faltiples maneras diferentes\u00bb, se\u00f1al\u00f3 Silent Push en un an\u00e1lisis del malware el a\u00f1o pasado. \u00abLas infecciones de sitios web pueden implicar inyecciones directas, donde la entrega de carga \u00fatil de SocGholish inyecta JS cargado directamente desde una p\u00e1gina web infectada o mediante una versi\u00f3n de la inyecci\u00f3n directa que utiliza un archivo JS intermedio para cargar la inyecci\u00f3n relacionada\u00bb.<\/p>\n

En noviembre de 2025, el lobo \u00e1rtico revel\u00f3 que los actores de amenazas de RomCom estaban utilizando SocGholish para entregar el Agente M\u00edtico, destacando el uso de los servicios del intermediario de acceso inicial por parte de una amplia gama de actores con diversas motivaciones.<\/a><\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Sitios de WordPress comprometidos con SocGholish geolocalizados por IP por pa\u00eds<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Orange Cyberdefense dijo que ha observado infecciones de SocGholish que entregan cargadores como Gholoader (otro cargador basado en JavaScript) y MintsLoader, que, a su vez, conducen al despliegue de cargas \u00fatiles adicionales como GhostWeaver, LockBit, AsyncRAT y NetSupport RAT.<\/p>\n

\u00abSocGholish utiliza un modelo de entrega en capas y se ha observado que permite m\u00faltiples categor\u00edas de cargas \u00fatiles de seguimiento\u00bb, la empresa de ciberseguridad. dicho<\/a>y agrega que el actor de amenazas tambi\u00e9n colabora con operadores de sistemas de distribuci\u00f3n de tr\u00e1fico (TDS) como TA2726.<\/p>\n

Muchas de las instancias comprometidas de WordPress han sido modificadas para incluir infraestructura criminal operada por SocGholish, seg\u00fan la Fundaci\u00f3n Shadowserver. La gran mayor\u00eda de los sitios pirateados estaban ubicados en Estados Unidos, seguidos por Alemania, Francia, India, Brasil, Singapur, Italia, Indonesia, Canad\u00e1 y Vietnam.<\/p>\n

\u00abEl abuso tambi\u00e9n incluye el uso de un proceso conocido como ‘Domain Shadowing’\u00bb, dijo la organizaci\u00f3n sin fines de lucro. dicho<\/a>. \u00abEsta es una t\u00e9cnica en la que un actor de amenazas obtiene acceso al proveedor de DNS autorizado o al panel de cuenta del registrador para un dominio leg\u00edtimo, y utiliza su acceso para crear silenciosamente subdominios adicionales debajo del dominio principal (‘apex’)\u00bb.<\/p>\n

\u00abEstos subdominios maliciosos a menudo reciben nombres de host comunes que se ocultan a simple vista y se mezclan con la infraestructura DNS leg\u00edtima del propietario del dominio, pero apuntar\u00e1n a una infraestructura maliciosa externa operada por delincuentes, aprovechando efectivamente la reputaci\u00f3n establecida de un dominio y dificultando que los defensores detecten o bloqueen f\u00e1cilmente actividades il\u00edcitas\u00bb.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Una vista simplificada de los afiliados que llevan a las v\u00edctimas potenciales a SocGholish<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Es m\u00e1s, los sitios web infectados con frecuencia son explotados por m\u00faltiples actores de amenazas, exponiendo a los visitantes desprevenidos del sitio a un sofisticado grupo de amenazas potenciales. El comportamiento malicioso exhibido por estos sitios est\u00e1 dictado por varios factores cruciales, incluido el pa\u00eds de origen del usuario, el tipo de navegador utilizado y el sistema operativo subyacente.<\/p>\n

\u00abTA569 compromete sitios web indiscriminadamente y es oportunista, aunque los sitios con mayor tr\u00e1fico generan m\u00e1s v\u00edctimas\u00bb, Proofpoint dicho<\/a>. \u00abEl actor tambi\u00e9n ha comprometido sitios web en pr\u00e1cticamente todas las industrias, desde organizaciones sin fines de lucro y escuelas, hasta atenci\u00f3n m\u00e9dica y hospitales, pasando por organizaciones legales y de bienes ra\u00edces\u00bb.<\/p>\n

La firma de inteligencia de amenazas DNS Infoblox describi\u00f3 a SocGholish como un marco JavaScript de m\u00faltiples etapas que convierte sitios web comprometidos en veh\u00edculos de entrega de malware de descarga autom\u00e1tica. El marco est\u00e1 habilitado por cuatro pasos principales: adquisici\u00f3n de tr\u00e1fico, filtrado de tr\u00e1fico, se\u00f1uelos de carga \u00fatil y ejecuci\u00f3n de implante en el dispositivo.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abTA569 compromete un gran n\u00famero de sitios web\u00bb, afirma. dicho<\/a>. \u00abPero tambi\u00e9n aceptan tr\u00e1fico de afiliados. Es una relaci\u00f3n comercial cl\u00e1sica: cuando un usuario visita el sitio, el afiliado generalmente les toma las huellas digitales y luego pasa a las v\u00edctimas potenciales a SocGholish a trav\u00e9s de un enlace integrado. A cambio, el afiliado recibir\u00e1 un pago por estos ‘clientes potenciales’\u00bb.<\/p>\n

Algunos de los afiliados destacados que han vendido tr\u00e1fico al marco SocGholish a lo largo de los a\u00f1os incluyen TA2726, Parrot TDS y JunkyTDS. Los actores de amenazas tambi\u00e9n han empleado ofertas comerciales como Keitaro y zTDS para filtrar el tr\u00e1fico y redirigirlo a SocGholish, o enviarlo al sitio web original o cualquier otro contenido si el visitante del sitio comprometido no cumple con los criterios.<\/p>\n

Los datos de Infoblox muestran que aproximadamente el 55% de sus clientes de la nube intentaron acceder a la infraestructura de SocGholish solo este a\u00f1o, y los ataques se dirigieron a casi \u00abtodos los sectores industriales\u00bb durante los \u00faltimos cinco meses. Algunas de las verticales m\u00e1s espec\u00edficas incluyeron gobierno, educaci\u00f3n, banca, atenci\u00f3n m\u00e9dica, servicios no relacionados con TI, servicios financieros, consultor\u00eda de TI, servicios p\u00fablicos, seguros y transporte.<\/p>\n

\u00abEsta distribuci\u00f3n [\u2026] \u00abRefuerza que SocGholish no es una amenaza de nicho limitada a una vertical\u00bb, dijo la compa\u00f1\u00eda. \u00abEn cambio, su ecosistema TDS y webinject a gran escala llega tanto al sector p\u00fablico como a entornos comercialmente importantes, lo que lo convierte en una amenaza ampliamente relevante en toda nuestra base de clientes\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Las autoridades policiales holandesas, junto con sus hom\u00f3logas de Canad\u00e1 Alemania y EE. UU. han interrumpido la infraestructura maliciosa asociada con SocGholish y han limpiado casi 15.000 sitios web infectados de WordPress. \u00abCon estas acciones privamos a los ciberdelincuentes del acceso a sistemas inform\u00e1ticos infectados\u00bb, Maikel Rollman, de la Unidad Nacional de Delitos de Alta […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,3206,1094,3207,52,461,87,266,3194,2928],"class_list":["post-1249","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-endgame","tag-interrumpe","tag-limpia","tag-los","tag-operacion","tag-servidores","tag-sitios","tag-socgholish","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1249","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1249"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1249\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1249"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1249"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1249"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}