Una banda de ciberdelincuentes conocida como Black Cat ha sido atribuida a una campaña de envenenamiento por optimización de motores de búsqueda (SEO) que emplea sitios fraudulentos que anuncian software popular para engañar a los usuarios para que descarguen una puerta trasera capaz de robar datos confidenciales.

Según un informe publicada por el Equipo Técnico de Respuesta a Emergencias de la Red Informática Nacional y el Centro de Coordinación de China (CNCERT/CC) y Beijing Weibu Online (también conocido como ThreatBook), la actividad está diseñada para llevar estratégicamente los sitios falsos a la cima de los resultados de búsqueda en motores de búsqueda como Microsoft Bing, dirigida específicamente a los usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.

«Tras visitar estas páginas de suplantación de identidad de alto nivel, los usuarios se sienten atraídos por páginas de descarga cuidadosamente diseñadas que intentan descargar paquetes de instalación de software que incluyen programas maliciosos», afirman CNCERT/CC y ThreatBook. «Una vez instalado, el programa implanta un troyano de puerta trasera sin que el usuario lo sepa, lo que provoca que los atacantes roben datos confidenciales del ordenador anfitrión».

Se estima que Black Cat está activo desde al menos 2022, y ha orquestado una serie de ataques diseñados para el robo de datos y el control remoto mediante malware distribuido a través de campañas de envenenamiento por SEO. En 2023, se dice que el grupo robó al menos 160.000 dólares en criptomonedas haciéndose pasar por AiCoin, una popular plataforma virtual de compraventa de divisas.

En la última serie de ataques, los usuarios que buscan Notepad++ reciben enlaces a un sitio web de suplantación de identidad convincente que se hace pasar por asociado al programa de software («cn-notepadplusplus [.] com»). Otros dominios registrados por Black Cat son «cn-obsidian [.] com», «cn-winscp [.] com» y «notepadplusplus [.] cn».

La inclusión de «cn» en los nombres de dominio indica que los actores de amenazas persiguen específicamente a los usuarios chinos que pueden estar buscando estas herramientas a través de los motores de búsqueda.

Si un usuario desprevenido termina haciendo clic en el botón «descargar» del sitio web falso, se les redirige a otra URL que imita a GitHub («github.zh-cns [.] top») desde donde se puede descargar un archivo ZIP. Dentro del archivo ZIP hay un instalador que crea un acceso directo en el escritorio del usuario. El acceso directo actúa como punto de entrada para cargar de forma lateral una DLL maliciosa que, a su vez, abre la puerta trasera.

El malware establece contacto con un servidor remoto codificado (» sbido [.] com:2869 «), lo que le permite robar datos del navegador web, registrar las pulsaciones de teclas, extraer el contenido del portapapeles y otra información valiosa del host comprometido.

CNCERT/CC y ThreatBook señalaron que el sindicato de ciberdelincuencia Black Cat puso en peligro unos 277.800 servidores en toda China entre el 7 y el 20 de 2025, y que el mayor número diario de máquinas comprometidas del país alcanzó un máximo de 62.167.

Para mitigar el riesgo, se recomienda a los usuarios que se abstengan de hacer clic en enlaces de fuentes desconocidas y que se limiten a fuentes confiables para descargar software.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.