Los ciberespías han convertido una plataforma legítima de cifrado de documentos en su propia red encubierta de exfiltración de datos.
El software en el que las empresas confían para proteger sus secretos se está utilizando en su contra. Este 19 de marzo de 2026, se reporta que investigadores de seguridad han descubierto un nuevo y sofisticado malware bautizado como Speagle, el cual secuestra la funcionalidad y la infraestructura del programa legítimo Cobra DocGuard.
El Caballo de Troya: Cobra DocGuard
Cobra DocGuard es una conocida plataforma de cifrado y seguridad de documentos desarrollada por la empresa EsafeNet. Lamentablemente, esta no es la primera vez que este software es abusado: incidentes en 2022 y 2023 ya habían demostrado cómo atacantes lo utilizaban para distribuir puertas traseras como PlugX mediante actualizaciones maliciosas en la cadena de suministro en el continente asiático.
La campaña actual, rastreada bajo el nombre de Runningcrab, destaca por su nivel de parasitismo táctico:
- Speagle es un ejecutable .NET de 32 bits que está diseñado para recolectar información únicamente en sistemas que tengan instalado Cobra DocGuard.
- El malware roba información confidencial del equipo (incluyendo el historial del navegador web y los datos de autocompletado) y la transmite hacia un servidor legítimo de Cobra DocGuard que previamente ha sido comprometido por los atacantes.
- Al operar de esta manera, el proceso de exfiltración de los datos robados se camufla perfectamente frente a los defensores como si fuera tráfico normal entre el cliente y el servidor de seguridad.
- Como mecanismo de evasión extremo, Speagle incluso invoca un controlador (driver) asociado con el propio programa Cobra DocGuard para borrarse a sí mismo del equipo comprometido y no dejar rastro físico.
Espionaje Industrial y Militar Dirigido
Aunque la atribución formal del ataque aún no se ha establecido, los equipos de caza de amenazas creen que se trata del trabajo de un actor patrocinado por un estado o de un contratista privado operando bajo contrato para realizar espionaje a medida.
Esta hipótesis se refuerza enormemente al analizar una variante específica de Speagle descubierta durante la investigación. Dicha variante incluye funcionalidades adicionales programadas para rastrear el sistema buscando específicamente archivos e información relacionados con misiles balísticos chinos, concretamente el modelo Dongfeng-27 (DF-27). Aunque el método exacto de infección inicial de esta campaña sigue siendo desconocido, las sospechas de los analistas apuntan nuevamente a un ataque orquestado a través de la cadena de suministro del software.
Recomendaciones
- Reinstalar desde fuentes oficiales o aplicar parches.
- Analizar tráfico hacia dominios/servidores asociados a DocGuard.
- Implementar soluciones EDR/XDR con análisis de comportamiento.
