Buscar software corporativo en Internet se ha convertido en un campo minado. Los atacantes están manipulando los resultados de búsqueda para robar credenciales empresariales con instaladores falsos.
La confianza en los motores de búsqueda está siendo utilizada en contra de las organizaciones. Este 13 de marzo de 2026, se reporta que los equipos de Inteligencia de Amenazas y Expertos en Defender de Microsoft han desvelado una agresiva campaña orquestada por el grupo criminal Storm-2561.
Este clúster de amenazas, monitoreado por propagar malware desde mayo de 2025, se especializa en tácticas de envenenamiento de optimización de motores de búsqueda (SEO) en plataformas como Bing. Su objetivo es interceptar a los empleados que buscan descargar clientes de Red Privada Virtual (VPN) de marcas reconocidas como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access).
La Trampa del SEO y los Falsos Instaladores
La cadena de ataque diseñada por Storm-2561 es altamente sofisticada y abusa de plataformas legítimas para evadir sospechas:
- Los usuarios son redirigidos a sitios web falsos controlados por los atacantes (como ivanti-vpn[.]org) que ocupan los primeros lugares en los resultados de búsqueda.
- Desde allí, se engaña a la víctima para que descargue archivos ZIP que, irónicamente, están alojados en repositorios de confianza dentro de GitHub.
- Estos archivos contienen instaladores MSI que se hacen pasar por software VPN legítimo, pero que en realidad ejecutan cargas laterales (sideloading) de archivos DLL maliciosos durante el proceso de instalación.
- Para evadir las alertas de los antivirus y los controles del sistema operativo, los componentes maliciosos están firmados digitalmente de forma fraudulenta a nombre de la entidad ‘Taiyuan Lihua Near Information Technology Co., Ltd.’.
El Robo Silencioso y la Persistencia (Hyrax)
El objetivo final de esta elaborada operación de ingeniería social es desplegar una variante del malware de robo de información conocido como Hyrax.
Una vez que el troyano está en el sistema, despliega un cuadro de diálogo de inicio de sesión de VPN falso pero visualmente idéntico al original para capturar las credenciales del usuario. Cuando la víctima introduce su información, el malware exfiltra los datos hacia los servidores del atacante y luego muestra un mensaje de error falso, instruyendo al usuario a descargar el cliente VPN correcto esta vez (borrando así cualquier sospecha inmediata del robo).
Para asegurar su permanencia en el equipo comprometido, el malware altera la clave de registro RunOnce de Windows, garantizando que su código se ejecute automáticamente después de cada reinicio del sistema.
Microsoft ha intervenido agresivamente desactivando los repositorios de GitHub involucrados y revocando el certificado digital abusado para neutralizar esta campaña. Este tipo de operaciones cibercriminales subraya la necesidad crítica de implementar Autenticación Multifactor (MFA) en todos los accesos corporativos y entrenar al personal para verificar rigurosamente las URLs antes de descargar software.
