{"id":306,"date":"2026-03-19T21:30:46","date_gmt":"2026-03-19T21:30:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/speagle-malware-secuestra-cobra-docguard-para-robar-datos-a-traves-de-servidores-comprometidos-cyberdefensa-mx\/"},"modified":"2026-03-19T21:30:46","modified_gmt":"2026-03-19T21:30:46","slug":"speagle-malware-secuestra-cobra-docguard-para-robar-datos-a-traves-de-servidores-comprometidos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/speagle-malware-secuestra-cobra-docguard-para-robar-datos-a-traves-de-servidores-comprometidos-cyberdefensa-mx\/","title":{"rendered":"Speagle Malware secuestra Cobra DocGuard para robar datos a trav\u00e9s de servidores comprometidos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han detectado un nuevo malware denominado speagle<\/strong> que secuestra la funcionalidad y la infraestructura de un programa leg\u00edtimo llamado Cobra DocGuard.<\/p>\n

\u00abSpeagle est\u00e1 dise\u00f1ado para recolectar subrepticiamente informaci\u00f3n confidencial de computadoras infectadas y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltraci\u00f3n de datos como comunicaciones leg\u00edtimas entre el cliente y el servidor\u00bb, investigadores de Symantec y Carbon Black. dicho<\/a> en un informe publicado hoy.<\/p>\n

Cobra DocGuard es una plataforma de cifrado y seguridad de documentos desarrollada por EsafeNet. El abuso de este software en ataques del mundo real se ha registrado p\u00fablicamente dos veces hasta la fecha. En enero de 2023, ESET document\u00f3 una intrusi\u00f3n en la que una empresa de juegos de azar en Hong Kong se vio comprometida en septiembre de 2022 mediante una actualizaci\u00f3n maliciosa impulsada por el software.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

M\u00e1s tarde, en agosto, Symantec destac\u00f3 la actividad de un nuevo grupo de amenazas con nombre en c\u00f3digo Carderbee, que se encontr\u00f3 usando una versi\u00f3n troyanizada del programa para implementar PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. Los ataques tuvieron como objetivo m\u00faltiples organizaciones en Hong Kong y otros pa\u00edses asi\u00e1ticos.<\/p>\n

Speagle permanece sin atribuir hasta la fecha. Pero lo que hace que el malware sea digno de menci\u00f3n es que est\u00e1 dise\u00f1ado para recopilar y filtrar datos \u00fanicamente de aquellos sistemas que tienen instalado el software de protecci\u00f3n de datos Cobra DocGuard. La actividad se rastrea bajo el nombre de Runningcrab.<\/p>\n

\u00abEsto indica un objetivo deliberado, posiblemente para facilitar la recopilaci\u00f3n de inteligencia o el espionaje industrial\u00bb, dijeron los equipos de caza de amenazas propiedad de Broadcom. \u00abEn la actualidad, creemos que las hip\u00f3tesis m\u00e1s probables son que se trata del trabajo de un actor patrocinado por el Estado o de un contratista privado disponible para contratar\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

Se desconoce exactamente c\u00f3mo se entrega el malware a las v\u00edctimas, aunque se sospecha que pudo haber sido realizado a trav\u00e9s de un ataque a la cadena de suministro, como lo demuestran los dos casos antes mencionados. <\/p>\n

Adem\u00e1s, merece una menci\u00f3n el papel central que juega el software de seguridad y su infraestructura. Speagle no solo utiliza un servidor Cobra DocGuard leg\u00edtimo para comando y control (C2) y como punto de exfiltraci\u00f3n de datos, sino que tambi\u00e9n invoca un controlador asociado con el programa para eliminarse del host comprometido.<\/p>\n

El ejecutable .NET de 32 bits, una vez iniciado, primero verifica la carpeta de instalaci\u00f3n de Cobra DocGuard y luego procede a recopilar y transmitir datos desde la m\u00e1quina infectada en fases. Esto incluye detalles sobre el sistema y archivos ubicados en carpetas espec\u00edficas, como aquellas que contienen el historial del navegador web y datos de autocompletar.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Es m\u00e1s, se ha descubierto que una variante de Speagle incorpora funcionalidad adicional para activar\/desactivar ciertos tipos de recopilaci\u00f3n de datos, as\u00ed como buscar archivos relacionados con misiles bal\u00edsticos chinos como Dongfeng-27 (tambi\u00e9n conocido como DF-27).<\/p>\n

\u00abSpeagle es una nueva amenaza parasitaria que utiliza inteligentemente el cliente de Cobra DocGuard para enmascarar su actividad maliciosa y su infraestructura para ocultar el tr\u00e1fico de exfiltraci\u00f3n\u00bb, dijeron los investigadores. \u00abSin duda, su desarrollador se dio cuenta de ataques anteriores a la cadena de suministro utilizando el software y puede haberlo seleccionado tanto por su vulnerabilidad percibida como por su alta tasa de uso entre las organizaciones objetivo\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad han detectado un nuevo malware denominado speagle que secuestra la funcionalidad y la infraestructura de un programa leg\u00edtimo llamado Cobra DocGuard. \u00abSpeagle est\u00e1 dise\u00f1ado para recolectar subrepticiamente informaci\u00f3n confidencial de computadoras infectadas y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltraci\u00f3n […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1082,1084,24,627,1083,60,36,703,1081,87,1080,76],"class_list":["post-306","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cobra","tag-comprometidos","tag-cyberdefensa-mx","tag-datos","tag-docguard","tag-malware","tag-para","tag-robar","tag-secuestra","tag-servidores","tag-speagle","tag-traves"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=306"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/306\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}