AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Nueva campaña de malware suplanta despachos legales para instalar spyware en empresas

admin

Introducción

En el contexto de una amenaza creciente a la seguridad empresarial, Kaspersky ha detectado una campaña maliciosa de ingeniería social que se expande con rapidez desde junio de 2025. Más de 1.100 usuarios corporativos han sido ya objetivo de este ataque, que utiliza tácticas de spear phishing altamente personalizadas. Los atacantes suplantan a supuestos despachos de abogados, enviando correos electrónicos en los que amenazan con demandas por infracciones de patentes, con el objetivo último de distribuir spyware y comprometer la seguridad de los sistemas empresariales. Este artículo analiza en profundidad el modus operandi de la campaña, sus implicaciones técnicas y estratégicas para los equipos de ciberseguridad.

Contexto del Incidente

El uso de la ingeniería social y la suplantación de identidad en campañas de malware no es novedoso, pero sí lo es la creciente sofisticación en la presentación de los mensajes y la personalización de los ataques. En esta campaña específica, los atacantes se presentan como un reconocido bufete de abogados, utilizando nombres, logotipos y dominio falsificados para dotar de legitimidad a la comunicación. El mensaje suele contener amenazas legales creíbles y referencias a supuestas infracciones de patentes, con el objetivo de generar una reacción emocional inmediata y forzar al destinatario a interactuar con los archivos adjuntos o enlaces maliciosos.

Según datos recabados por Kaspersky, la campaña se dirige principalmente a responsables de departamentos técnicos y legales dentro de organizaciones, aumentando así la probabilidad de éxito del ataque. El vector de ataque se basa en el envío masivo de correos electrónicos a listas de distribución corporativas, lo que permite una rápida propagación y una tasa de apertura superior al 30%, notablemente por encima de la media en campañas de phishing genéricas.

Detalles Técnicos: CVE, Vectores y TTPs

La campaña explota principalmente la manipulación psicológica, pero se apoya en técnicas avanzadas de evasión y persistencia. Los correos maliciosos contienen archivos adjuntos en formato Microsoft Office (docx/xlsx) o PDF que, al abrirse, ejecutan macros o scripts embebidos. Estos scripts descargan e instalan un spyware identificado como una variante del conocido Remcos RAT, ampliamente utilizado en campañas de espionaje corporativo.

No se ha detectado el uso de vulnerabilidades zero-day en esta campaña, pero sí se ha constatado la explotación de CVE-2017-11882, una vulnerabilidad crítica en Microsoft Office que permite la ejecución de código arbitrario vía EQNEDT32.EXE. Remcos RAT es desplegado utilizando troyanos descargadores y técnicas de ofuscación para evadir firmas antivirus tradicionales. El framework Metasploit ha sido empleado para el desarrollo de payloads personalizados y la integración de Cobalt Strike para la gestión de C2 (Command & Control).

En cuanto a TTPs (Tactics, Techniques and Procedures) según el framework MITRE ATT&CK, destacan:
– Spear Phishing Attachment (T1566.001)
– User Execution: Malicious File (T1204.002)
– Command and Control over HTTP/S (T1071.001)
– Credential Dumping (T1003)
– Collection: Data from Information Repositories (T1213)

Entre los indicadores de compromiso (IoC) identificados se encuentran dominios de reciente creación imitando despachos legales, hashes de los archivos maliciosos, direcciones IP de los servidores C2 y patrones en los encabezados de los correos.

Impacto y Riesgos

El impacto potencial de esta campaña es significativo. Al instalar herramientas de acceso remoto y spyware, los atacantes pueden exfiltrar información confidencial, credenciales, documentos sensibles y listas de contactos. En sectores regulados como el financiero, sanitario o tecnológico, esto supone un grave riesgo de incumplimiento normativo (GDPR, NIS2), con posibles sanciones económicas que pueden superar los 20 millones de euros o el 4% de la facturación anual, según la criticidad de la brecha.

Además, la persistencia del malware dificulta la detección temprana, permitiendo a los atacantes mantener el acceso durante semanas o meses. Se han registrado intentos de movimiento lateral y escalada de privilegios para comprometer infraestructuras completas, así como el uso de canales cifrados para la exfiltración de datos.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de esta campaña, se recomienda:
– Actualizar Microsoft Office y sistemas operativos, priorizando el parcheo de CVE-2017-11882.
– Desactivar macros por defecto y restringir la ejecución de scripts en documentos recibidos por correo.
– Implementar políticas de filtrado de correo avanzado y sandboxing de archivos adjuntos.
– Monitorizar la red en busca de conexiones a dominios e IPs sospechosas asociadas a C2.
– Formar al personal en la detección de correos fraudulentos, especialmente en departamentos clave.
– Revisar políticas de gestión de accesos y realizar auditorías periódicas de credenciales.
– Utilizar soluciones EDR/XDR con capacidad de detección basada en comportamiento y respuesta automatizada.

Opinión de Expertos

Expertos de Kaspersky y otros fabricantes coinciden en señalar la creciente sofisticación de las campañas de spear phishing orientadas a organizaciones. “El empleo de temáticas legales y la personalización de los mensajes incrementan la tasa de éxito y dificultan la identificación manual”, apunta Elena Sánchez, analista senior de amenazas. Destacan también la importancia de combinar tecnologías de protección avanzada con una cultura organizativa de ciberseguridad.

Implicaciones para Empresas y Usuarios

El auge de campañas que explotan la confianza en entidades legales pone de manifiesto la necesidad de reforzar los controles internos y la formación específica. Las empresas deben contemplar este tipo de amenazas en su análisis de riesgos y adaptar sus planes de contingencia, especialmente ante la entrada en vigor de la nueva Directiva NIS2, que incrementa las obligaciones de notificación y gestión de incidentes de ciberseguridad.

Conclusiones

La campaña descubierta por Kaspersky refleja una tendencia preocupante hacia ataques cada vez más dirigidos y adaptados al contexto empresarial. La preparación técnica, la actualización continua de sistemas y la sensibilización de los empleados se consolidan como elementos esenciales para contener el impacto de estas amenazas. Ante un panorama regulatorio más estricto y ataques más sofisticados, invertir en ciberresiliencia es ya una cuestión estratégica para la supervivencia y reputación de las organizaciones.

(Fuente: www.cybersecuritynews.es)