Un nuevo frente en la guerra contra el malware
Investigadores han identificado una campaña activa de malware, denominada SERPENTINE#CLOUD, que aprovecha la infraestructura legítima de Cloudflare Tunnel para distribuir troyanos de acceso remoto (Remote Access Trojans, RATs) a través de cadenas de phishing sofisticadas.
Los atacantes utilizan subdominios temporales bajo *.trycloudflare.com para alojar cargas maliciosas y evadir controles de seguridad tradicionales. Esto representa una amenaza significativa para las defensas basadas en dominios o listas negras.
¿Cómo funciona la campaña?
El ataque comienza con un correo electrónico temático (pagos o facturas) que contiene un archivo comprimido. Este archivo incluye un acceso directo de Windows (.LNK) disfrazado de documento legítimo. Cuando el usuario lo ejecuta, se inicia una compleja cadena de infección que incluye:
- Descarga de un archivo de script (WSF) desde un recurso WebDAV oculto en un subdominio de Cloudflare Tunnel.
- Ejecución del script con cscript.exe, lo que permite eludir la detección.
- Despliegue de un script en lote (kiki.bat) que muestra un PDF señuelo, verifica la presencia de antivirus y descarga cargas útiles adicionales en Python.
- Ejecución en memoria de RATs como AsyncRAT o Revenge RAT mediante cargadores como Donut.
Todo el proceso está diseñado para ser sigiloso, persistente y altamente evasivo.
Infraestructura legítima, uso malicioso
El abuso de servicios legítimos como Cloudflare Tunnel permite a los atacantes:
- Eludir filtros de URL al usar subdominios de confianza.
- Evitar el registro de dominios maliciosos o la renta de servidores.
- Exponer contenido desde máquinas locales de forma temporal y sin infraestructura propia.
Este modelo no solo reduce costos operativos para los actores maliciosos, sino que complica la visibilidad de red y los mecanismos de detección convencionales.
Técnicas avanzadas y evolución constante
El análisis del código sugiere que los scripts utilizados podrían haber sido generados o asistidos por modelos de lenguaje, lo que indicaría un refinamiento técnico creciente.
Securonix concluye que esta es una cadena de infección compleja y modular, que mezcla:
- Ingeniería social
- Técnicas de living-off-the-land
- Ejecución de código en memoria
- Obfuscación avanzada
Estas tácticas apuntan a una campaña cuidadosamente diseñada para evitar la detección durante todas sus etapas.
Campañas relacionadas y evolución global
El informe coincide con otras campañas recientes que evidencian una tendencia creciente al uso de vectores de infección sofisticados:
- Shadow Vector, dirigida a usuarios en Colombia, utiliza archivos SVG para camuflar malware y distribuir RATs como AsyncRAT y Remcos RAT.
- ClickFix, una técnica de ingeniería social que simula resoluciones de errores o CAPTCHAs para inducir a las víctimas a ejecutar malware como Lumma Stealer.
Estos casos refuerzan la necesidad de adaptar las defensas no solo a indicadores técnicos, sino también a comportamientos de usuario y contextos de entrega.
Recomendaciones para las organizaciones
- Fortalecer las políticas de filtrado de correo electrónico y navegación.
- Restringir la ejecución de archivos .LNK, WSF y scripts no autorizados.
- Implementar detección basada en comportamiento y análisis de procesos en memoria.
- Capacitar al personal sobre campañas de phishing avanzadas y artefactos señuelo.
- Monitorear el uso de servicios legítimos como Cloudflare Tunnel en entornos corporativos.
Las campañas modernas de malware combinan infraestructura legítima, scripts ofuscados y técnicas de evasión avanzadas. La defensa efectiva requiere una estrategia integral que combine inteligencia de amenazas, monitoreo activo y formación continua.
