Investigadores descubren una campaña sofisticada que utiliza el temor a las multas fiscales para infiltrar un framework de espionaje completo, capaz de manipular el antivirus Avast y abusar de herramientas de gestión legítimas.
La temporada de impuestos siempre trae consigo una temporada de estafas, pero lo que está ocurriendo en la India va mucho más allá del robo de dinero rápido. Hoy 26 de enero de 2026, una campaña de ciberespionaje activa dirigida a ciudadanos indios.
A diferencia de los ataques bancarios comunes, esta operación tiene matices de vigilancia estatal o corporativa avanzada. Los atacantes no solo buscan credenciales; están instalando una “puerta trasera” persistente utilizando una combinación letal de malware bancario antiguo (Blackmoon) y software de gestión empresarial legítimo de origen chino (SyncFuture TSM).
El Gancho: La “Multa” del Departamento de Impuestos
El ataque comienza con un clásico de la ingeniería social, ejecutado con precisión:
- El Cebo: Correos electrónicos de phishing que se hacen pasar por el Departamento de Impuestos sobre la Renta de la India.
- La Amenaza: Advierten a la víctima sobre una supuesta “multa fiscal” pendiente o una revisión de documentos urgente.
- La Trampa: Instan al usuario a descargar un archivo ZIP que supuestamente contiene los detalles de la infracción (“Inspection Document Review.exe”).
La Cadena de Infección: Evasión y Control
Lo que ocurre al abrir el archivo es una clase maestra de evasión de defensas:
- DLL Side-Loading: El ejecutable legítimo carga una DLL maliciosa oculta en el archivo ZIP, iniciando el ataque sin alertar al sistema.
- Bypass de UAC: El malware utiliza técnicas COM para eludir el Control de Cuentas de Usuario (UAC) y ganar privilegios administrativos silenciosamente.
- Manipulación de Antivirus: Aquí viene lo más sorprendente. El malware detecta si Avast Free Antivirus está corriendo en el equipo. Si lo encuentra, utiliza simulación de ratón automatizada para navegar por la interfaz del antivirus y añadirse a sí mismo a la lista de exclusiones, neutralizando la protección sin desactivar el motor (lo que sería más ruidoso).
El Arsenal: Blackmoon y SyncFuture
El objetivo final de esta intrusión es desplegar dos herramientas principales:
- Blackmoon (alias KRBanker): Un troyano bancario conocido desde 2015, utilizado históricamente contra Corea del Sur y EE. UU., ahora reutilizado como herramienta de acceso inicial y evasión.
- SyncFuture TSM: Esta es la pieza clave. Es una herramienta comercial legítima de “Gestión de Seguridad de Terminales” desarrollada por la empresa china Nanjing Zhongke Huasai Technology.
- El Abuso: Los atacantes instalan esta herramienta legítima para usarla como un RAT (Troyano de Acceso Remoto) perfecto. Al ser software firmado y válido, permite monitorear la actividad del usuario, exfiltrar archivos y mantener control total del equipo sin levantar sospechas en los sistemas de monitoreo de red.
¿Quién está detrás?
Aunque el uso de software chino y el malware Blackmoon podrían sugerir ciertos orígenes geográficos, no se ha atribuido la campaña a un actor de amenazas específico (APT) por el momento. Sin embargo, la complejidad del ataque y el uso de herramientas de “doble uso” para el espionaje sugieren un actor con recursos significativos e intenciones de vigilancia a largo plazo.
Recomendaciones
- Desconfianza Fiscal: El Departamento de Impuestos de la India (al igual que el SAT o la Hacienda en otros países) nunca envía archivos ejecutables o ZIP por correo electrónico. Las notificaciones siempre dirigen al portal oficial.
- Protección de Endpoints: Los administradores deben bloquear la ejecución de herramientas de gestión remota (RMM) no autorizadas como SyncFuture, AnyDesk o TeamViewer, y monitorear los intentos de modificación de las listas de exclusión del antivirus.
