Microsoft ha revelado detalles de una campaña de robo de credenciales que emplea clientes falsos de redes privadas virtuales (VPN) distribuidos mediante técnicas de envenenamiento por optimización de motores de búsqueda (SEO).

«La campaña redirige a los usuarios que buscan software empresarial legítimo a archivos ZIP maliciosos en sitios web controlados por atacantes para implementar troyanos firmados digitalmente que se hacen pasar por clientes de VPN confiables y, al mismo tiempo, recopilan credenciales de VPN», dicen los equipos de expertos de Microsoft Threat Intelligence y Microsoft Defender dijo .

El fabricante de Windows, que observó la actividad a mediados de enero de 2026, la ha atribuido a Tormenta-2561 , un grupo de actividades de amenazas conocido por propagar malware mediante el envenenamiento por SEO y hacerse pasar por vendedores de software populares desde mayo de 2025.

adsense

Las campañas del actor de amenazas fueron primera documentación de Cyjax, en el que se destaca el uso del envenenamiento por SEO para redirigir a los usuarios que buscan programas de software de empresas como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access) en Bing a sitios falsos y engañarlos para que descarguen instaladores de MSI que implementan el Cargador Bumblebee .

Una iteración posterior del ataque fue divulgado de Zscaler en octubre de 2025. La campaña se aprovechó de los usuarios que buscaban software legítimo en Bing para propagar un cliente troyano de Ivanti Pulse Secure VPN a través de sitios web falsos («ivanti-vpn [.] org») que, en última instancia, robaban las credenciales de VPN de la máquina de la víctima.

Microsoft dijo que la actividad pone de relieve cómo los actores de amenazas explotan la confianza en las clasificaciones de los motores de búsqueda y la marca del software como una táctica de ingeniería social para robar datos de los usuarios que buscan software VPN empresarial. Lo que agrava la situación es el abuso de plataformas confiables como GitHub para alojar los archivos de instalación.

En concreto, el repositorio de GitHub aloja un archivo ZIP que contiene un archivo de instalación MSI que se hace pasar por software VPN legítimo, pero carga archivos DLL maliciosos durante la instalación. El objetivo final, como antes, es recopilar y filtrar las credenciales de VPN mediante una variante de un ladrón de información llamado Hyrax.

Se muestra al usuario un cuadro de diálogo de inicio de sesión de VPN falso, pero convincente, para capturar las credenciales. Una vez que la víctima introduce la información, se le muestra un mensaje de error y se le indica que, esta vez, descargue el cliente VPN legítimo. En algunos casos, se les redirige al sitio web legítimo de la VPN.

El malware hace uso de Clave de registro de Windows RunOnce para configurar la persistencia, de modo que se ejecute automáticamente cada vez que se reinicie el sistema.

enlaces

«Esta campaña presenta características consistentes con las operaciones de cibercrimen con motivación financiera empleadas por Storm-2561», dijo Microsoft. «Los componentes maliciosos están firmados digitalmente por 'Taiyuan Lihua Near Information Technology Co., Ltd. '»

Desde entonces, el gigante tecnológico ha eliminado los repositorios de GitHub controlados por los atacantes y ha revocado el certificado legítimo para neutralizar la operación.

Para contrarrestar estas amenazas, se recomienda a las organizaciones y a los usuarios que implementen la autenticación multifactor (MFA) en todas las cuentas, que tengan cuidado al descargar software de sitios web y que se aseguren de que son auténticos.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.