Los delincuentes utilizan las notificaciones del navegador como vector para los ataques de suplantación de identidad para distribuir enlaces maliciosos mediante una nueva plataforma de comando y control (C2) llamada Matrix Push C2.
«Este marco sin archivos nativo del navegador aprovecha las notificaciones push, las alertas falsas y los redireccionamientos de enlaces para dirigirse a las víctimas en todos los sistemas operativos», dijo Brenda Robb, investigadora de Blackfog dijo en un informe del jueves.
En estos ataques, se engaña a los posibles objetivos para que permitan las notificaciones del navegador mediante ingeniería social en sitios web maliciosos o legítimos pero comprometidos.
Una vez que un usuario acepta recibir notificaciones del sitio, los atacantes aprovechan la mecanismo de notificación push web integrado en el navegador web para enviar alertas que parecen haber sido enviadas por el sistema operativo o el propio navegador, aprovechando marcas confiables, logotipos conocidos y un lenguaje convincente para mantener la artimaña.
Estas incluyen alertas sobre, por ejemplo, inicios de sesión sospechosos o actualizaciones del navegador, junto con un práctico botón de «Verificar» o «Actualizar» que, al hacer clic, lleva a la víctima a un sitio falso.
Lo que hace que esta sea una técnica inteligente es que todo el proceso se lleva a cabo a través del navegador sin la necesidad de infectar primero el sistema de la víctima por otros medios. En cierto modo, el ataque es Haga clic en Fijar ya que se induce a los usuarios a seguir ciertas instrucciones para poner en peligro sus propios sistemas, eludiendo así de manera efectiva los controles de seguridad tradicionales.
Eso no es todo. Dado que el ataque se desarrolla a través del navegador web, también es una amenaza multiplataforma. Esto hace que cualquier aplicación de navegador de cualquier plataforma que se suscriba a las notificaciones maliciosas pase a formar parte del grupo de clientes, lo que proporciona a los adversarios un canal de comunicación persistente.
Matrix Push C2 se ofrece como un kit de malware como servicio (MaaS) para otros actores de amenazas. Se vende directamente a través de canales dedicados a la lucha contra la delincuencia, normalmente a través de Telegram y foros sobre ciberdelincuencia, con un modelo de suscripción escalonado: unos 150 dólares por un mes, 405 dólares por tres meses, 765 dólares por seis meses y 1500 dólares por un año completo.
«Los pagos se aceptan en criptomonedas y los compradores se comunican directamente con el operador para acceder», dijo a The Hacker News el Dr. Darren Williams, fundador y director ejecutivo de BlackFog. «Matrix Push se observó por primera vez a principios de octubre y ha estado activo desde entonces. No hay evidencia de versiones anteriores, marcas anteriores o una infraestructura antigua. Todo indica que se trata de un kit recién lanzado».
Se puede acceder a la herramienta como un panel de control basado en la web, lo que permite a los usuarios enviar notificaciones, rastrear a cada víctima en tiempo real, determinar con qué notificaciones interactuaron las víctimas, crear enlaces abreviados mediante un servicio de acortamiento de URL incorporado e incluso registrar las extensiones de navegador instaladas, incluidas las carteras de criptomonedas.
«El núcleo del ataque es la ingeniería social, y Matrix Push C2 viene repleto de plantillas configurables para maximizar la credibilidad de sus mensajes falsos», explicó Robb. «Los atacantes pueden personalizar fácilmente sus notificaciones de suplantación de identidad y páginas de destino para hacerse pasar por empresas y servicios conocidos».
Algunas de las plantillas de verificación de notificaciones compatibles están asociadas a marcas conocidas como MetaMask, Netflix, Cloudflare, PayPal y TikTok. La plataforma también incluye una sección de «Análisis e informes» que permite a sus clientes medir la eficacia de sus campañas y refinarlas según sea necesario.
«Matrix Push C2 nos muestra un cambio en la forma en que los atacantes obtienen el acceso inicial e intentan explotar a los usuarios», afirma BlackFog. «Una vez que el terminal de un usuario (ordenador o dispositivo móvil) está bajo este tipo de influencia, el atacante puede escalar gradualmente el ataque».
«Podrían enviar mensajes de suplantación de identidad adicionales para robar credenciales, engañar al usuario para que instale un malware más persistente o incluso aprovechar las vulnerabilidades del navegador para obtener un control más profundo del sistema. En última instancia, el objetivo final suele ser robar datos o monetizar el acceso, por ejemplo, agotando las carteras de criptomonedas o extrayendo información personal».
Aumentan los ataques con uso indebido de Velociraptor
El desarrollo se produce como lo dijo Huntress observado un «aumento significativo» de los ataques que utilizan como armas a los legítimos Velocirraptor herramienta forense digital y de respuesta a incidentes (DFIR) durante los últimos tres meses.
El 12 de noviembre de 2025, el proveedor de ciberseguridad dijo que los atacantes habían desplegado Velociraptor tras obtener el acceso inicial mediante la explotación de una falla en los Servicios de actualización de Windows Server ( CVE-2025-59287 , puntuación CVSS: 9,8), que Microsoft parcheó a finales del mes pasado.
Posteriormente, se dice que los atacantes lanzaron consultas de descubrimiento con el objetivo de realizar un reconocimiento y recopilar detalles sobre los usuarios, los servicios en ejecución y las configuraciones. El ataque fue contenido antes de que pudiera seguir avanzando, añadió Huntress.
El descubrimiento muestra que los actores de amenazas no son solo usando marcos C2 personalizados , sino que también emplean en su beneficio herramientas ofensivas de ciberseguridad y respuesta a incidentes que están fácilmente disponibles.
«Hemos visto a los actores de amenazas utilizar herramientas legítimas durante el tiempo suficiente como para saber que Velociraptor no será la primera herramienta de código abierto de doble uso que aparecerá en los ataques, ni será la última», dijeron los investigadores de Huntress.