Las autoridades holandesas encargadas de hacer cumplir la ley, junto con sus homólogas de Canadá, Alemania y Estados Unidos, han interrumpido la infraestructura maliciosa asociada con SocGholish y limpiado casi 15.000 sitios web infectados de WordPress.
«Con estas acciones privamos a los ciberdelincuentes del acceso a sistemas informáticos infectados», afirmó Maikel Rollman, de la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos.
«Esto evita mayores daños a los sistemas digitales de ciudadanos, empresas y organizaciones de todo el mundo y limita la propagación de malware. También reduce el riesgo de que estos sistemas se utilicen para ciberataques a infraestructuras críticas y otros procesos sociales esenciales. Esto marca el comienzo de nuevas acciones contra SocGholish».
La eliminación es parte de la Operación Endgame, una iniciativa internacional en curso de aplicación de la ley para combatir las botnets y las infraestructuras criminales asociadas. Fue lanzado en 2024.
Como parte del esfuerzo, 106 servidores vinculados a SocGholish han sido desactivados y 14.971 sitios de WordPress han sido eliminados de las infecciones. Se ha notificado a los propietarios de sitios web para que actualicen su sistema de gestión de contenidos (CMS), cambien sus credenciales y eliminen cualquier cuenta sospechosa.
Activo desde 2017 y también conocido como FakeUpdates, SocGholish es un malware de descarga basado en JavaScript (JS) que normalmente sirve como conducto para el malware de siguiente etapa de varios actores de amenazas como Evil Corp (también conocido como DEV-0243, Indrik Spider y UNC2165), LockBit, RansomHub, Dridex y Raspberry Robin (también conocido como Roshtyak).
«El malware establece un punto de apoyo inicial en las computadoras de las víctimas, conocido colectivamente como botnet, y luego es utilizado por actores de amenazas para atacar más con campañas de ransomware y espionaje», dijo la División Cibernética de la Oficina Federal de Investigaciones (FBI) de EE. UU. en una publicación compartida en LinkedIn.
Se distribuye a través de sitios web comprometidos haciéndose pasar por actualizaciones engañosas para navegadores web como Google Chrome o Mozilla Firefox y otro software popular. Los operadores del malware han sido rastreados bajo varios alias, como Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 y UNC1543.
«Las infecciones de SocGholish normalmente se originan en sitios web comprometidos que han sido infectados de múltiples maneras diferentes», señaló Silent Push en un análisis del malware el año pasado. «Las infecciones de sitios web pueden implicar inyecciones directas, donde la entrega de carga útil de SocGholish inyecta JS cargado directamente desde una página web infectada o mediante una versión de la inyección directa que utiliza un archivo JS intermedio para cargar la inyección relacionada».
En noviembre de 2025, Arctic Wolf reveló que los actores de amenazas de RomCom estaban utilizando SocGholish para entregar el Agente Mítico, destacando el uso de los servicios del intermediario de acceso inicial por parte de una amplia gama de actores con diversas motivaciones.
 |
| Sitios de WordPress comprometidos con SocGholish geolocalizados por IP por país |
Orange Cyberdefense dijo que ha observado infecciones de SocGholish que entregan cargadores como Gholoader (otro cargador basado en JavaScript) y MintsLoader, que, a su vez, conducen al despliegue de cargas útiles adicionales como GhostWeaver, LockBit, AsyncRAT y NetSupport RAT.
«SocGholish utiliza un modelo de entrega en capas y se ha observado que habilita múltiples categorías de cargas útiles de seguimiento», dijo la compañía de ciberseguridad, agregando que el actor de amenazas también colabora con operadores de sistemas de distribución de tráfico (TDS) como TA2726.
TDS es una tecnología que se utiliza para dirigir a los visitantes del sitio a diferentes destinos en función de diferentes factores. Esto puede variar desde sitios web de inicio de sesión falsos o comprometidos que albergan páginas de phishing hasta sitios falsos que solicitan a los usuarios que descarguen actualizaciones de software que contienen malware, que luego pueden obtener acceso a las redes de las víctimas para ransomware u otras estafas financieras.
«Los ciberdelincuentes utilizan TDS para eludir las reglas de firewall tradicionales que de otro modo bloquearían las conexiones a sitios web maliciosos, y para analizar víctimas potenciales para identificarlas mediante la recopilación de su dirección IP, sistema operativo, ubicación, dispositivo e información del navegador», dijo el FBI. «Después de dirigir a los usuarios a un TDS, a menudo mediante diversas técnicas de ingeniería social, los ciberdelincuentes pueden explotar los dispositivos de los usuarios al final de la cadena de redireccionamiento de TDS al entregar páginas de phishing, estafas financieras y otro malware».
Muchas de las instancias comprometidas de WordPress han sido modificadas para incluir infraestructura criminal operada por SocGholish, según la Fundación Shadowserver. La gran mayoría de los sitios pirateados estaban ubicados en Estados Unidos, seguidos por Alemania, Francia, India, Brasil, Singapur, Italia, Indonesia, Canadá y Vietnam.
«El abuso también incluye el uso de un proceso conocido como ‘Domain Shadowing'», dijo la organización sin fines de lucro. «Esta es una técnica en la que un actor de amenazas obtiene acceso al proveedor de DNS autorizado o al panel de cuenta del registrador para un dominio legítimo, y utiliza su acceso para crear silenciosamente subdominios adicionales debajo del dominio principal (‘apex’)».
«Estos subdominios maliciosos a menudo reciben nombres de host comunes que se ocultan a simple vista y se mezclan con la infraestructura DNS legítima del propietario del dominio, pero apuntarán a una infraestructura maliciosa externa operada por delincuentes, aprovechando efectivamente la reputación establecida de un dominio y dificultando que los defensores detecten o bloqueen fácilmente actividades ilícitas».
 |
| Una vista simplificada de los afiliados que llevan a las víctimas potenciales a SocGholish |
Es más, los sitios web infectados con frecuencia son explotados por múltiples actores de amenazas, exponiendo a los visitantes desprevenidos del sitio a un sofisticado grupo de amenazas potenciales. El comportamiento malicioso exhibido por estos sitios está dictado por varios factores cruciales, incluido el país de origen del usuario, el tipo de navegador utilizado y el sistema operativo subyacente.
«TA569 compromete sitios web indiscriminadamente y es oportunista, aunque los sitios con mayor tráfico generan más víctimas», dijo Proofpoint. «El actor también ha comprometido sitios web en prácticamente todas las industrias, desde organizaciones sin fines de lucro y escuelas, hasta atención médica y hospitales, pasando por organizaciones legales y de bienes raíces».
La firma de inteligencia de amenazas DNS Infoblox describió a SocGholish como un marco JavaScript de múltiples etapas que convierte sitios web comprometidos en vehículos de entrega de malware de descarga automática. El marco está habilitado por cuatro pasos principales: adquisición de tráfico, filtrado de tráfico, señuelos de carga útil y ejecución de implante en el dispositivo.
«TA569 compromete un gran número de sitios web», afirma. «Pero también aceptan tráfico de afiliados. Es una relación comercial clásica: cuando un usuario visita el sitio, el afiliado generalmente les toma las huellas digitales y luego pasa a las víctimas potenciales a SocGholish a través de un enlace integrado. A cambio, el afiliado recibirá un pago por estos ‘clientes potenciales'».
Algunos de los afiliados destacados que han vendido tráfico al marco SocGholish a lo largo de los años incluyen TA2726, Parrot TDS y JunkyTDS. Los actores de amenazas también han empleado ofertas comerciales como Keitaro y zTDS para filtrar el tráfico y redirigirlo a SocGholish, o enviarlo al sitio web original o cualquier otro contenido si el visitante del sitio comprometido no cumple con los criterios.
Los datos de Infoblox muestran que aproximadamente el 55% de sus clientes de la nube intentaron acceder a la infraestructura de SocGholish solo este año, y los ataques se dirigieron a casi «todos los sectores industriales» durante los últimos cinco meses. Algunas de las verticales más específicas incluyeron gobierno, educación, banca, atención médica, servicios no relacionados con TI, servicios financieros, consultoría de TI, servicios públicos, seguros y transporte.
«Esta distribución (…) refuerza que SocGholish no es una amenaza de nicho limitada a una vertical», dijo la compañía. «En cambio, su ecosistema TDS y webinject a gran escala llega tanto al sector público como a entornos comercialmente importantes, lo que lo convierte en una amenaza ampliamente relevante para nuestra base de clientes».