## Ciberdelincuentes Utilizan Repositorios Públicos de GitHub para Distribuir Amadey en Campaña Activa

### Introducción

La utilización de servicios legítimos para fines maliciosos sigue siendo una tendencia al alza en el panorama de la ciberseguridad. En abril de 2025, investigadores de Cisco Talos han detectado una campaña activa donde actores de amenazas aprovechan repositorios públicos de GitHub para alojar y distribuir cargas útiles maliciosas, herramientas y plug-ins del conocido malware Amadey. Esta táctica representa un desafío significativo para los equipos de defensa, ya que explota la confianza y la infraestructura de plataformas ampliamente utilizadas en el desarrollo y la colaboración software.

### Contexto del Incidente

Amadey es un malware modular que lleva operando desde 2018, conocido principalmente por su uso como dropper y su modelo de distribución MaaS (Malware-as-a-Service). Los operadores de Amadey suelen alquilar el acceso a su infraestructura y código a terceros, permitiendo así la proliferación de campañas personalizadas. En este caso, los atacantes crearon cuentas falsas en GitHub para subir cargas útiles maliciosas y plug-ins, valiéndose de la reputación de la plataforma para eludir sistemas de filtrado web y facilitar la distribución de malware.

La campaña detectada por Cisco Talos, liderada por los investigadores Chris Neal y Craig Jackson, demuestra cómo los atacantes buscan nuevas vías para maximizar el alcance y minimizar la detección, aprovechando servicios cloud legítimos y repositorios públicos de confianza.

### Detalles Técnicos

**Malware y Versiones Afectadas:**
El principal vector de ataque es Amadey, en sus versiones 2.x, conocido por su capacidad de ejecutar módulos adicionales y descargar payloads secundarios. Los exploits observados aprovechan la descarga directa de ejecutables maliciosos y scripts desde repositorios públicos de GitHub.

**Vectores de Ataque:**
– Phishing: Correos electrónicos con enlaces a repositorios GitHub o descargas directas.
– Redirecciones desde sitios comprometidos.
– Malspam.

**Tácticas, Técnicas y Procedimientos (TTP) – MITRE ATT&CK:**
– T1190 (Exploit Public-Facing Application)
– T1105 (Ingress Tool Transfer)
– T1071.001 (Web Protocols)
– T1566 (Phishing)

**Indicadores de Compromiso (IoC):**
– Repositorios GitHub recientemente creados con nombres que imitan proyectos legítimos.
– Descargas de archivos ejecutables o scripts PowerShell desde dominios githubusercontent.com.
– Cargas útiles detectadas: variantes de Amadey, plug-ins para keylogging, exfiltración de credenciales y persistencia.

**Herramientas y Frameworks Utilizados:**
– Amadey MaaS.
– Herramientas auxiliares desarrolladas en Python y PowerShell.
– Uso de frameworks como Metasploit para etapas posteriores de explotación y movimiento lateral.

### Impacto y Riesgos

El uso de plataformas como GitHub dificulta las labores de detección y bloqueo, ya que muchas organizaciones permiten el tráfico legítimo hacia estos servicios para actividades de desarrollo. Esta campaña pone en riesgo entornos corporativos y personales debido a:

– Compromiso de endpoints y servidores.
– Robo de credenciales y datos sensibles.
– Ejecución de payloads adicionales, como ransomware o troyanos bancarios.
– Evitación de restricciones de filtrado web y listas blancas.

Según estimaciones de diferentes fuentes, hasta un 15% de las detecciones de malware en entornos empresariales durante el primer trimestre de 2025 implicaron el uso de servicios cloud públicos como canal de distribución.

### Medidas de Mitigación y Recomendaciones

– **Bloqueo selectivo y monitorización** del tráfico hacia githubusercontent.com y otros dominios asociados, implementando inspección profunda de paquetes (DPI).
– **Restricción de descargas** de ejecutables y scripts desde repositorios públicos, utilizando soluciones de EDR y políticas de grupo (GPO).
– **Actualización de firmas y reglas** en sistemas IDS/IPS y soluciones antimalware.
– **Formación de usuarios** para detectar correos y enlaces sospechosos que redirijan a repositorios no verificados.
– Implementación de Zero Trust y segmentación de red para minimizar el movimiento lateral.

### Opinión de Expertos

Especialistas en ciberseguridad como David Barroso, CEO de CounterCraft, advierten: “El abuso de plataformas legítimas como GitHub para alojar malware responde a la sofisticación y adaptación constante de los atacantes. Es imprescindible que los equipos de defensa no solo confíen en permitir listas blancas, sino que monitoricen la autenticidad y el comportamiento de los recursos accedidos”.

Por su parte, analistas de S21sec y Deloitte señalan la creciente dificultad para aplicar bloqueos sin perjudicar la productividad de los equipos de desarrollo, subrayando la necesidad de soluciones de visibilidad y control granular.

### Implicaciones para Empresas y Usuarios

Para las empresas, este tipo de campañas supone un doble reto: mantener la agilidad en los procesos de desarrollo y colaboración, mientras se garantiza la seguridad frente a amenazas que se ocultan en servicios de confianza. Además, la exposición a brechas de datos puede acarrear sanciones bajo la GDPR y la inminente directiva NIS2, que refuerza las obligaciones de notificación y gestión de incidentes.

Los usuarios domésticos también se ven afectados, especialmente aquellos que descargan herramientas o scripts desde repositorios públicos sin verificar su legitimidad.

### Conclusiones

El aprovechamiento de repositorios públicos de GitHub para distribuir malware como Amadey marca un nuevo hito en el uso de plataformas legítimas para actividades maliciosas. Las organizaciones deben reforzar sus controles de seguridad, revisar sus políticas de acceso y establecer mecanismos de monitorización continua para detectar anomalías asociadas. La colaboración entre proveedores de servicios cloud y la comunidad de ciberseguridad será clave para mitigar esta tendencia y proteger la integridad de los entornos digitales.

(Fuente: feeds.feedburner.com)