**Múltiples campañas de Augmented Marauder: el troyano bancario evoluciona y se expande entre hispanohablantes**

—

### 1. Introducción

En las últimas semanas, se ha observado una intensificación significativa de campañas maliciosas dirigidas a usuarios hispanohablantes, protagonizadas por una variante evolucionada del troyano bancario conocido como Augmented Marauder. Este malware está siendo desplegado mediante sofisticadas técnicas de evasión y replicación, lo que dificulta su detección y contención. El fenómeno preocupa especialmente a profesionales de ciberseguridad, ya que incluye tácticas avanzadas que comprometen tanto a usuarios finales como a infraestructuras empresariales, afectando especialmente a entidades financieras y servicios digitales en España y Latinoamérica.

—

### 2. Contexto del Incidente o Vulnerabilidad

Augmented Marauder no es un troyano bancario nuevo, pero su reciente evolución ha introducido capacidades multipropósito y un enfoque específico hacia comunidades hispanohablantes. Las campañas detectadas desde abril de 2024 muestran una diversificación de vectores de ataque, combinando phishing dirigido (spear phishing), malvertising y descargas desde sitios comprometidos. El uso de mensajes personalizados y traducción nativa al español incrementa la tasa de éxito de las infecciones, según informes recientes analizados por equipos de Threat Intelligence en Europa y América Latina.

—

### 3. Detalles Técnicos

Las versiones observadas de Augmented Marauder, identificadas bajo los CVE-2024-31899 y CVE-2024-31901, afectan principalmente a sistemas Windows (versiones 10 y 11) y dispositivos Android, aprovechando vulnerabilidades en navegadores y apps bancarias no actualizadas. El malware emplea técnicas de empaquetado polimórfico, cifrado de payloads y ejecución en memoria (fileless), dificultando su identificación mediante firmas tradicionales.

En cuanto a los TTP (Tactics, Techniques and Procedures) según el marco MITRE ATT&CK, destacan:

– **T1566** (Phishing): envío de correos con enlaces o adjuntos maliciosos.
– **T1204** (User Execution): engaño al usuario para ejecutar scripts o apps.
– **T1027** (Obfuscated Files or Information): uso de ofuscación y cifrado.
– **T1071** (Application Layer Protocol): C2 a través de HTTPS y Telegram.
– **T1082** (System Information Discovery): recolección de información del host para decidir el payload.

Indicadores de compromiso (IoC) nuevos incluyen hashes SHA256 de binarios modificados, direcciones IP de C2 en Europa del Este y dominios registrados recientemente para simulación de portales bancarios. Se ha detectado el uso de frameworks como Metasploit para pruebas internas, y el despliegue de Cobalt Strike Beacon en fases posteriores, encaminadas al movimiento lateral en entornos corporativos.

—

### 4. Impacto y Riesgos

La campaña está generando un impacto considerable: según fuentes del sector, se calcula que al menos un 7% de los clientes bancarios digitales en España han sido objeto de intentos de phishing relacionados con Augmented Marauder, con un incremento del 30% en infecciones detectadas respecto al trimestre anterior.

El riesgo principal reside en el robo de credenciales bancarias, secuestro de sesiones, manipulación de transacciones y, en el caso de entornos corporativos, acceso no autorizado a sistemas internos. Además, el malware incluye módulos para capturar MFA (Multi-Factor Authentication) mediante técnicas de overlay y keylogging avanzado, elevando el nivel de amenaza.

Las pérdidas económicas asociadas a estas campañas superan los 12 millones de euros en reclamaciones a entidades financieras en lo que va de año, según datos del INCIBE y asociaciones de banca.

—

### 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan una estrategia de defensa en profundidad, que incluya:

– Actualización inmediata de sistemas operativos, navegadores y aplicaciones bancarias.
– Implementación de soluciones EDR con detección de comportamiento anómalo y análisis heurístico.
– Refuerzo de la concienciación del usuario frente a correos y SMS sospechosos.
– Despliegue de autenticación fuerte (FIDO2, biometría) y segmentación de redes internas.
– Monitorización de IoC actualizados, bloqueo de dominios y direcciones IP asociadas a la infraestructura C2.
– Simulacros de phishing y revisiones periódicas de políticas de acceso.

—

### 6. Opinión de Expertos

Según Marta González, analista sénior de amenazas en una entidad bancaria española, “la sofisticación de Augmented Marauder y su rápida replicación evidencian un salto cualitativo en la ciberdelincuencia orientada al fraude financiero en el mundo hispanohablante”. Por su parte, Manuel Martínez, CISO en una corporación multinacional, señala que “la combinación de técnicas fileless y el uso de canales cifrados para el C2 complica la detección incluso en entornos con soluciones avanzadas de seguridad”.

—

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, el auge de Augmented Marauder supone una amenaza directa al cumplimiento normativo (GDPR, NIS2), ya que el robo de datos personales y financieros puede derivar en sanciones significativas y pérdida de confianza de los clientes. Los usuarios, por su parte, deben extremar precauciones ante cualquier comunicación inesperada de su banco o proveedor de servicios digitales.

Las tendencias de mercado indican que los atacantes seguirán adaptando sus TTP a comunidades específicas, utilizando la ingeniería social multilingüe y la personalización de ataques como vector diferencial.

—

### 8. Conclusiones

La proliferación de Augmented Marauder marca un nuevo hito en la evolución de los troyanos bancarios, con campañas cada vez más segmentadas y técnicas de evasión avanzadas. La coordinación internacional, la mejora continua de las defensas y la educación del usuario son imprescindibles para mitigar el riesgo. Mantenerse actualizado en las amenazas emergentes y adoptar un enfoque proactivo será clave para reducir la superficie de exposición y responder de forma eficaz ante incidentes de este tipo.

(Fuente: www.darkreading.com)