**Ciberataque masivo a WordPress: casi 2.000 webs comprometidas con malware que oculta su C2 en comentarios de Steam**
—
### 1. Introducción
Una reciente campaña de malware ha comprometido cerca de 2.000 sitios web WordPress mediante una técnica de ocultación innovadora: el uso de comentarios en perfiles de la comunidad Steam para alojar información crítica de comando y control (C2). Este método, que aprovecha plataformas legítimas para evadir mecanismos tradicionales de detección, supone una evolución significativa en las tácticas de los atacantes y plantea serios desafíos para los equipos de ciberseguridad responsables de la protección de infraestructuras web.
—
### 2. Contexto del Incidente
El ataque, detectado a finales de mayo de 2024 por investigadores de ciberseguridad, afecta a sitios WordPress de todo el mundo, con especial incidencia en portales de pequeñas y medianas empresas (PYMES) y blogs personales. El vector de infección inicial se basa en la explotación de vulnerabilidades conocidas y plugins desactualizados, una problemática recurrente en el ecosistema WordPress, que sigue siendo el CMS más utilizado a nivel global (con más del 43% de cuota de mercado, según W3Techs).
La campaña maliciosa destaca por el uso de canales de comunicación alternativos para el C2, evitando infraestructuras propias y recurriendo a los comentarios públicos de perfiles de Steam Community, la popular plataforma de videojuegos de Valve. Esta técnica complica la identificación y el bloqueo del tráfico malicioso, ya que se mezcla con tráfico legítimo y dificulta la atribución y el análisis forense.
—
### 3. Detalles Técnicos
Los investigadores han identificado que el malware desplegado en los sitios comprometidos corresponde a una variante de JavaScript inyectado en el frontend de las webs afectadas. Este script realiza peticiones periódicas a perfiles de Steam Community, extrayendo comentarios específicos que contienen, en formato ofuscado, las direcciones y comandos del servidor C2.
#### Identificadores y TTPs
– **CVE implicados:** Aunque los detalles técnicos aún están en análisis, los ataques se han asociado principalmente a la explotación de CVE-2023-30777 (vulnerabilidad en el plugin WordPress «WP Statistics», con CVSS 8.8) y CVE-2024-23488 (vulnerabilidad de XSS en «Contact Form 7»).
– **Vectores de ataque:** Inyección de JavaScript a través de plugins vulnerables o credenciales comprometidas vía ataques de fuerza bruta.
– **Frameworks y herramientas:** Aunque no se ha detectado uso directo de frameworks como Metasploit, se ha observado una automatización elevada mediante scripts personalizados y bots, facilitando una rápida propagación.
– **TTP MITRE ATT&CK:**
– T1059 (Command and Scripting Interpreter)
– T1071 (Application Layer Protocol)
– T1102 (Web Service)
– **IoCs (Indicadores de Compromiso):**
– URLs que apuntan a perfiles de Steam con patrones de comentarios sospechosos
– Scripts inyectados con cadenas codificadas en base64 o hexadecimal
– Peticiones HTTP inusuales a dominios legítimos de Steam desde el frontend del sitio afectado
—
### 4. Impacto y Riesgos
El impacto de la campaña es significativo: se calcula que alrededor de 2.000 sitios WordPress han sido comprometidos en apenas dos semanas, según datos de firmas de seguridad como Sucuri y Wordfence. El riesgo principal reside en la capacidad de los atacantes para ejecutar código arbitrario, redirigir tráfico a sitios de phishing, distribuir malware adicional (como troyanos bancarios o mineros de criptomonedas) y robar credenciales de usuarios y administradores.
Además, la utilización de plataformas legítimas para el C2 dificulta la respuesta y la remediación, incrementando la ventana de exposición y el potencial de daño reputacional y económico. Para empresas sujetas a normativas como GDPR o NIS2, una brecha de este tipo puede derivar en sanciones económicas que pueden superar el 2% del volumen de negocio anual.
—
### 5. Medidas de Mitigación y Recomendaciones
Para contener y prevenir este tipo de ataques, los expertos recomiendan:
– **Actualizar WordPress y todos los plugins/temas:** Priorizar la instalación de parches de seguridad para los plugins afectados (especialmente WP Statistics y Contact Form 7).
– **Monitorizar tráfico saliente:** Configurar alertas ante peticiones HTTP a dominios de Steam Community desde el frontend web.
– **Hardenización del entorno:** Desactivar la edición de archivos desde el panel de administración y aplicar principios de mínimos privilegios.
– **Escaneos periódicos:** Utilizar herramientas de análisis de integridad y escaneo de malware (Wordfence, Sucuri, MalCare).
– **Revisión manual de código:** Auditar los archivos de temas y plugins en busca de scripts no autorizados.
– **Reset de credenciales:** Cambiar contraseñas de acceso y revisar logs de actividad sospechosa.
– **Seguridad legal:** Revisar políticas de respuesta ante incidentes y cumplimiento de GDPR y NIS2 en caso de filtración de datos personales.
—
### 6. Opinión de Expertos
Según Javier Rodríguez, analista senior de amenazas en ElevenPaths, “El uso de plataformas como Steam para ocultar infraestructura de C2 es una tendencia creciente que complica la detección y bloqueo a nivel perimetral. Exige a los equipos SOC una monitorización avanzada basada en comportamiento y análisis de tráfico inusual, más allá de los métodos de listas negras tradicionales”.
Por su parte, Laura Prieto, consultora de compliance y privacidad, enfatiza: “Una brecha de este tipo, si implica fuga de datos personales, obliga a notificar a la AEPD en menos de 72 horas según el RGPD, lo que puede suponer consecuencias legales y reputacionales para las empresas afectadas”.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas que dependen de WordPress para su presencia digital deben revisar urgentemente sus políticas de actualización y monitorización. Los usuarios finales, por su parte, corren el riesgo de ser redirigidos a sitios de phishing o ver comprometidas sus credenciales si interactúan con sitios infectados. El incidente refuerza la necesidad de la formación continua en ciberseguridad y la implementación de sistemas de detección basados en actividad anómala y análisis de logs.
—
### 8. Conclusiones
Esta campaña demuestra la sofisticación creciente de los atacantes y la importancia de mantener infraestructuras web correctamente actualizadas y monitorizadas. La utilización de canales legítimos para el C2, como los comentarios en Steam Community, representa un desafío para las estrategias tradicionales de defensa y demanda un enfoque proactivo, tanto técnico como legal, por parte de los responsables de ciberseguridad.
(Fuente: www.bleepingcomputer.com)