{"id":246,"date":"2026-03-13T15:45:46","date_gmt":"2026-03-13T15:45:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/storm-2561-propaga-clientes-vpn-troyanos-mediante-envenenamiento-de-seo-para-robar-credenciales-cyberdefensa-mx\/"},"modified":"2026-03-13T15:45:46","modified_gmt":"2026-03-13T15:45:46","slug":"storm-2561-propaga-clientes-vpn-troyanos-mediante-envenenamiento-de-seo-para-robar-credenciales-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/storm-2561-propaga-clientes-vpn-troyanos-mediante-envenenamiento-de-seo-para-robar-credenciales-cyberdefensa-mx\/","title":{"rendered":"Storm-2561 propaga clientes VPN troyanos mediante envenenamiento de SEO para robar credenciales \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Microsoft ha revelado detalles de una campa\u00f1a de robo de credenciales que emplea clientes falsos de redes privadas virtuales (VPN) distribuidos mediante t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO).<\/p>\n

\u00abLa campa\u00f1a redirige a los usuarios que buscan software empresarial leg\u00edtimo a archivos ZIP maliciosos en sitios web controlados por atacantes para implementar troyanos firmados digitalmente que se hacen pasar por clientes VPN confiables mientras recolectan credenciales de VPN\u00bb, dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Experts. dicho<\/a>.<\/p>\n

El fabricante de Windows, que observ\u00f3 la actividad a mediados de enero de 2026, la ha atribuido a Tormenta-2561<\/strong>un grupo de actividad de amenazas conocido por propagar malware mediante envenenamiento de SEO y hacerse pasar por proveedores de software populares desde mayo de 2025.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Las campa\u00f1as del actor de amenazas fueron documentado por primera vez<\/a> de Cyjax, destacando el uso de envenenamiento de SEO para redirigir a los usuarios que buscan programas de software de compa\u00f1\u00edas como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access) en Bing a sitios falsos y enga\u00f1arlos para que descarguen instaladores MSI que implementan el cargador Bumblebee.<\/p>\n

Zscaler revel\u00f3 una iteraci\u00f3n posterior del ataque en octubre de 2025. Se observ\u00f3 que la campa\u00f1a aprovechaba que los usuarios buscaban software leg\u00edtimo en Bing para propagar un cliente VPN troyanizado Ivanti Pulse Secure a trav\u00e9s de sitios web falsos (\u00abivanti-vpn[.]org\u00bb) que finalmente rob\u00f3 las credenciales de VPN de la m\u00e1quina de la v\u00edctima.<\/p>\n

\"\"<\/a><\/div>\n

Microsoft dijo que la actividad destaca c\u00f3mo los actores de amenazas explotan la confianza en las clasificaciones de los motores de b\u00fasqueda y la marca del software como una t\u00e1ctica de ingenier\u00eda social para robar datos de los usuarios que buscan software VPN empresarial. Lo que agrava las cosas es el abuso de plataformas confiables como GitHub para alojar los archivos del instalador.<\/p>\n

Espec\u00edficamente, el repositorio de GitHub aloja un archivo ZIP que contiene un archivo de instalaci\u00f3n MSI que se hace pasar por software VPN leg\u00edtimo, pero descarga archivos DLL maliciosos durante la instalaci\u00f3n. El objetivo final, como antes, es recopilar y filtrar credenciales de VPN utilizando una variante de un ladr\u00f3n de informaci\u00f3n llamado Hyrax.<\/p>\n

Se muestra al usuario un cuadro de di\u00e1logo de inicio de sesi\u00f3n de VPN falso, pero convincente, para capturar las credenciales. Una vez que la v\u00edctima ingresa la informaci\u00f3n, se le muestra un mensaje de error y se le indica que esta vez descargue el cliente VPN leg\u00edtimo. En algunos casos, son redirigidos al sitio web leg\u00edtimo de VPN.<\/p>\n

El malware hace uso de la Clave de registro de Windows RunOnce<\/a> para configurar la persistencia, de modo que se ejecute autom\u00e1ticamente cada vez que se reinicie el sistema.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEsta campa\u00f1a exhibe caracter\u00edsticas consistentes con las operaciones de cibercrimen con motivaci\u00f3n financiera empleadas por Storm-2561\u00bb, dijo Microsoft. \u00abLos componentes maliciosos est\u00e1n firmados digitalmente por ‘Taiyuan Lihua Near Information Technology Co., Ltd.’\u00bb<\/p>\n

Desde entonces, el gigante tecnol\u00f3gico elimin\u00f3 los repositorios de GitHub controlados por el atacante y revoc\u00f3 el certificado leg\u00edtimo para neutralizar la operaci\u00f3n.<\/p>\n

Para contrarrestar tales amenazas, se recomienda a las organizaciones y a los usuarios que implementen la autenticaci\u00f3n multifactor (MFA) en todas las cuentas, tengan cuidado al descargar software de sitios web y se aseguren de que sean aut\u00e9nticos.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Microsoft ha revelado detalles de una campa\u00f1a de robo de credenciales que emplea clientes falsos de redes privadas virtuales (VPN) distribuidos mediante t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO). \u00abLa campa\u00f1a redirige a los usuarios que buscan software empresarial leg\u00edtimo a archivos ZIP maliciosos en sitios web controlados por atacantes para implementar […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[759,469,24,868,670,36,865,703,869,864,867,866],"class_list":["post-246","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-clientes","tag-credenciales","tag-cyberdefensa-mx","tag-envenenamiento","tag-mediante","tag-para","tag-propaga","tag-robar","tag-seo","tag-storm2561","tag-troyanos","tag-vpn"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=246"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/246\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}