Los investigadores de ciberseguridad han documentado cuatro nuevos kits de suplantación de identidad denominados BlackForce, GhostFrame, InboxPrime AI y Spiderman que sean capaces de facilitar el robo de credenciales a gran escala.
BlackForce, detectado por primera vez en agosto de 2025, está diseñado para robar credenciales y realizar tareas de usuario en el navegador ( Mi TB ) ataques para capturar contraseñas de un solo uso (OTP) y eludir la autenticación multifactor (MFA). El kit se vende en los foros de Telegram por entre 200€ (234$) y 300€ (351$).
El kit, según Zscaler ThreatLabz las investigadoras Gladis Brinda R y Ashwathi Sasi, han sido utilizadas para hacerse pasar por más de 11 marcas, incluidas Disney, Netflix, DHL y UPS. Se dice que está en desarrollo activo.
«BlackForce presenta varias técnicas de evasión con una lista de bloqueo que filtra a los proveedores de seguridad, los rastreadores web y los escáneres», dijo la empresa. «BlackForce sigue en fase de desarrollo activo. La versión 3 se usó ampliamente hasta principios de agosto, y las versiones 4 y 5 se publicaron en los meses siguientes».
Se ha descubierto que las páginas de suplantación de identidad conectadas al kit utilizan archivos JavaScript con lo que se ha descrito como» destrucción de caché «hashes» en sus nombres (por ejemplo, «index- [hash] .js»), lo que obliga al navegador web de la víctima a descargar la última versión del script malicioso en lugar de utilizar una versión en caché.
En un ataque típico con el kit, las víctimas que hacen clic en un enlace son redirigidas a una página de suplantación de identidad maliciosa, tras lo cual una comprobación del servidor filtra los rastreadores y los bots, antes de mostrarles una página diseñada para imitar a un sitio web legítimo. Una vez introducidas las credenciales en la página, los detalles se capturan y se envían en tiempo real a un bot de Telegram y a un panel de comando y control (C2) mediante un cliente HTTP llamado Axios .
Cuando el atacante intenta iniciar sesión con las credenciales robadas en el sitio web legítimo, se activa un mensaje de MFA. En esta fase, las técnicas MiTB se utilizan para mostrar una página de autenticación MFA falsa en el navegador de la víctima a través del panel C2. Si la víctima introduce el código MFA en la página falsa, el autor de la amenaza lo recopila y lo utiliza para obtener acceso no autorizado a su cuenta.
«Una vez que se completa el ataque, se redirige a la víctima a la página principal del sitio web legítimo, lo que oculta las pruebas del compromiso y garantiza que la víctima no se dé cuenta del ataque», dijo Zscaler.
GhostFrame impulsa más de 1 millón de ataques de suplantación de identidad sigilosos
Otro kit de suplantación de identidad incipiente que ha ganado terreno desde su descubrimiento en septiembre de 2025 es GhostFrame. La arquitectura del kit se basa en un sencillo archivo HTML que parece inofensivo y, al mismo tiempo, oculta su comportamiento malintencionado en un iframe integrado, que lleva a las víctimas a una página de inicio de sesión fraudulenta para robar las credenciales de las cuentas de Microsoft 365 o Google.
«El diseño del iframe también permite a los atacantes cambiar fácilmente el contenido de suplantación de identidad, probar nuevos trucos o atacar regiones específicas, todo ello sin cambiar la página web principal que distribuye el kit», dijo Sreyas Shetty, investigador de seguridad de Barracuda dijo . «Además, simplemente actualizando hacia dónde apunta el iframe, el kit puede evitar que lo detecten las herramientas de seguridad que solo comprueban la página exterior».
Los ataques que utilizan el kit GhostFrame comienzan con correos electrónicos de suplantación de identidad típicos que afirman tener que ver con contratos comerciales, facturas y solicitudes de restablecimiento de contraseñas, pero están diseñados para llevar a los destinatarios a la página falsa. El kit utiliza métodos antianálisis y antidepuración para evitar que se intente inspeccionar el sitio con herramientas de desarrollo de navegadores, y genera un subdominio aleatorio cada vez que alguien visita el sitio.
Las páginas exteriores visibles vienen con un script de carga que se encarga de configurar el iframe y responder a cualquier mensaje del elemento HTML. Esto puede incluir cambiar el título de la página principal para hacerse pasar por servicios de confianza, modificar el favicon del sitio o redirigir la ventana del navegador de nivel superior a otro dominio.
En la fase final, se envía a la víctima a una página secundaria que contiene los componentes de suplantación de identidad reales a través del iframe que se entrega a través del subdominio en constante cambio, lo que dificulta el bloqueo de la amenaza. El kit también incorpora un mecanismo alternativo en forma de un iframe de respaldo que se adjunta al final de la página en caso de que el JavaScript del cargador falle o se bloquee.
El kit de suplantación de identidad con IA de InboxPrime automatiza los ataques de correo electrónico
Si BlackForce sigue el mismo manual que otros kits de suplantación de identidad tradicionales, InboxPrime AI va un paso más allá al aprovechar la inteligencia artificial (IA) para automatizar las campañas de correo masivo. Se anuncia en un canal de Telegram con 1.300 miembros bajo un modelo de suscripción de malware como servicio (MaaS) por 1000 dólares, que otorga a los compradores una licencia perpetua y acceso total al código fuente.
«Está diseñado para imitar el comportamiento real de los usuarios al enviar correos electrónicos e incluso aprovecha la interfaz web de Gmail para evadir los mecanismos de filtrado tradicionales», dicen los investigadores de Abnormal Callie Baron y Piotr Wojtyla dijo .
«La IA de InboxPrime combina inteligencia artificial con técnicas de evasión operativa y promete a los ciberdelincuentes una capacidad de entrega casi perfecta, una generación automatizada de campañas y una interfaz pulida y profesional que refleja el software legítimo de marketing por correo electrónico».
La plataforma emplea una interfaz fácil de usar que permite a los clientes administrar cuentas, proxies, plantillas y campañas, reflejando las herramientas comerciales de automatización del correo electrónico. Una de sus características principales es un generador de correo electrónico integrado con tecnología de inteligencia artificial, que puede producir correos electrónicos de suplantación de identidad completos, incluidas las líneas de asunto, de una manera que imita la comunicación empresarial legítima.
De este modo, estos servicios reducen aún más la barrera de entrada para la ciberdelincuencia y eliminan de manera efectiva el trabajo manual que implica la redacción de dichos correos electrónicos. En su lugar, los atacantes pueden configurar parámetros, como el idioma, el tema o la industria, la longitud del correo electrónico y el tono deseado, que el kit de herramientas utiliza como entradas para generar señuelos convincentes que coincidan con el tema elegido.
Además, el panel de control permite a los usuarios guardar el correo electrónico producido como una plantilla reutilizable, además de admitir spintax para crear variaciones de los mensajes de correo electrónico sustituyendo ciertas variables de la plantilla. Esto garantiza que no haya dos correos electrónicos de suplantación de identidad con el mismo aspecto y les ayuda a eludir los filtros basados en firmas que buscan patrones de contenido similares.
Algunas de las otras funciones compatibles con InboxPrime AI se enumeran a continuación:
- Un módulo de diagnóstico de spam en tiempo real que puede analizar un correo electrónico generado para detectar los desencadenantes comunes de los filtros de spam y sugerir correcciones precisas
- Suplantación y distribución aleatoria de la identidad de los remitentes, lo que permite a los atacantes personalizar los nombres que se muestran para cada sesión de Gmail
«Esta industrialización del phishing tiene implicaciones directas para los defensores: ahora más atacantes pueden lanzar más campañas con más volumen, sin ningún aumento correspondiente en el ancho de banda o los recursos de los defensores», afirma Abnormal. «Esto no solo acelera el tiempo de lanzamiento de las campañas, sino que también garantiza una calidad uniforme de los mensajes, permite una segmentación temática y escalable en todos los sectores y permite a los atacantes llevar a cabo operaciones de suplantación de identidad de aspecto profesional sin necesidad de tener conocimientos de redacción publicitaria».
Spiderman crea réplicas perfectas de bancos europeos
El tercer kit de suplantación de identidad que ha pasado desapercibido es Spiderman, que permite a los atacantes atacar a clientes de docenas de bancos y proveedores de servicios financieros en línea europeos, como Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna y PayPal.
«Spiderman es un completo marco de suplantación de identidad que reproduce docenas de páginas de inicio de sesión de bancos europeos e incluso algunos portales gubernamentales», dijo Daniel Kelley, investigador de Varonis dijo . «Su interfaz organizada proporciona a los ciberdelincuentes una plataforma integral para lanzar campañas de suplantación de identidad, capturar credenciales y gestionar los datos de sesión robados en tiempo real».
Lo destacable del kit modular es que su vendedor comercializa la solución en un grupo de mensajería de Signal que cuenta con unos 750 miembros, lo que marca un alejamiento de Telegram. Alemania, Austria, Suiza y Bélgica son los principales objetivos del servicio de suplantación de identidad.
Al igual que en el caso de BlackForce, Spiderman utiliza varias técnicas, como la creación de listas de permisos de ISP, el geofencing y el filtrado de dispositivos para asegurarse de que solo los objetivos previstos puedan acceder a las páginas de suplantación de identidad. El kit de herramientas también está equipado para capturar frases iniciales de monederos de criptomonedas, interceptar OTP y Foto Tan códigos y mensajes de activación para recopilar datos de tarjetas de crédito.
«Este enfoque flexible de varios pasos es particularmente efectivo en el fraude bancario europeo, donde las credenciales de inicio de sesión por sí solas a menudo no son suficientes para autorizar las transacciones», explicó Kelley. «Tras capturar las credenciales, Spiderman registra cada sesión con un identificador único para que el atacante pueda mantener la continuidad durante todo el proceso de suplantación de identidad».
Detectan ataques híbridos de Salty-Tycoon 2FA
BlackForce, GhostFrame, InboxPrime AI y Spiderman son las últimas incorporaciones a una larga lista de kits de suplantación de identidad como Tycoon 2FA , Salty 2FA , Sneaky 2FA , Whisper 2FA , Cefas , y Astaroth (no debe confundirse con Troyano bancario de Windows del mismo nombre) que surgieron durante el año pasado.
En un informe publicado a principios de este mes, ANY.RUN dijo que había observado un nuevo híbrido Salty-Tycoon que ya está eludiendo las reglas de detección ajustadas a cualquiera de ellos. La nueva ola de ataques coincide con una fuerte caída de la actividad de Salty 2FA a finales de octubre de 2025, ya que las primeras etapas coinciden con Salty2FA, mientras que las etapas posteriores cargan código que reproduce la cadena de ejecución de Tycoon 2FA.
«Esta superposición marca un cambio significativo; uno que debilita las reglas específicas de los kits, complica la atribución y da a los actores de amenazas más margen para eludir la detección temprana», dijo la empresa dijo .
«En conjunto, esto proporciona pruebas claras de que una sola campaña de suplantación de identidad y, lo que es más interesante, una sola muestra, contiene rastros de Salty2fa y Tycoon, y Tycoon sirve de carga alternativa una vez que la infraestructura de Salty deja de funcionar por motivos que aún no están claros».