Una nueva campaña está utilizando subdominios de túnel Cloudflare para alojar cargas útiles maliciosas y entregarlas a través de archivos adjuntos maliciosos integrados en correos electrónicos de phishing.
La campaña en curso ha sido nombrada en código Serpentina#nube por Securonix.
Aprovecha «la infraestructura del túnel CloudFlare y los cargadores basados en Python para entregar cargas útiles inyectadas en memoria a través de una cadena de archivos de acceso directo y scripts ofuscados», dijo el investigador de seguridad Tim Peck en un informe compartido con Hacker News.
El ataque comienza con el envío de correos electrónicos de phishing con temas de pago o factura que llevan un enlace a un documento adherido que contiene un archivo de acceso directo (LNK) de Windows. Estos atajos están disfrazados de documentos para engañar a las víctimas para que las abran, activando efectivamente la secuencia de infección.
El elaborado proceso de múltiples pasos culmina en la ejecución de un cargador de shellcode basado en Python que ejecuta cargas útiles empaquetadas con el cargador de donas de código abierto completamente en la memoria.
Securonix dijo que la campaña ha atacado a los Estados Unidos, el Reino Unido, Alemania y otras regiones en Europa y Asia. La identidad de los actores de amenaza detrás de la campaña se desconoce actualmente, aunque la compañía de seguridad cibernética señaló su fluidez en inglés.
El clúster de actividad de amenazas también es notable por sus métodos de acceso iniciales cambiantes, girando desde archivos de acceso directo de Internet (URL) para usar archivos de acceso directo LNK disfrazado de documentos PDF. Estas cargas útiles se utilizan para recuperar etapas adicionales sobre WebDAV a través de los subdominios del túnel CloudFlare.
Vale la pena señalar que Esentire y Proofpoint documentan previamente una variación de esta campaña el año pasado, con los ataques allanando el camino para Asyncrat, Guloader, Purelogs Stealer, Remcos Rat, Venom Rat y Xworm.
El abuso de TryCloudflare ofrece ventajas múltiples. Para empezar, los actores maliciosos han dificultado durante mucho tiempo el uso de proveedores de servicios de nube legítimos como frente para sus operaciones, incluida la entrega de carga útil y la comunicación de comando y control (C2).
Al usar un subdominio de buena reputación («*.trycloudflare (.) Com») para fines nefastos, hace que sea extremadamente difícil para los defensores distinguir entre actividades dañinas y benignas, lo que permite evadir la URL o los mecanismos de bloqueo basados en el dominio.
La infección inicial ocurre cuando se inician los archivos LNK, lo que hace que descargue una carga útil de la próxima etapa, un archivo de script de Windows (WSF), desde una acción web remota alojada en un subdominio de túnel CloudFlare. El archivo WSF se ejecuta posteriormente utilizando cscript.exe de una manera sin despertar la sospecha de la víctima.
«Este archivo WSF funciona como un cargador ligero basado en VBScript, diseñado para ejecutar un archivo por lotes externo desde un segundo dominio de CloudFlare», dijo Peck. «El archivo ‘kiki.bat’ sirve como el principal script de entrega de carga útil a continuación en la serie de decisiones. En general, está diseñado para el sigilo y la persistencia».
La responsabilidad principal del script por lotes es mostrar un documento PDF señuelo, verificar el software antivirus y descargar y ejecutar cargas útiles de Python, que luego se utilizan para ejecutar cargas útiles llenas de donas como Asyncrat o Revenge Rat en la memoria.
Securonix dijo que existe la posibilidad de que el script haya sido codificado por un modelo de lenguaje grande debido a la presencia de comentarios bien definidos en el código fuente.
«La Campaña de la nube de#serpentina es una cadena de infecciones compleja y en capas que combina un poco de ingeniería social, técnicas de vida y la ejecución evasiva del código en la memoria», concluyó la compañía. «El abuso de la infraestructura del túnel de Cloudflare complica aún más la visibilidad de la red al darle al actor una capa de transporte desechable y encriptada para organizar archivos maliciosos sin mantener la infraestructura tradicional».
Shadow Vector apunta a los usuarios colombianos a través del contrabando de SVG
La divulgación se produce cuando Acronis identificó una campaña de malware activa doblada Vector de sombra Se dirige a los usuarios en Colombia utilizando archivos de gráficos vectoriales escalables (SVG) de Trapy Booby como el vector de entrega de malware en correos electrónicos de phishing que se hacen pasar por notificaciones judiciales.
«Los atacantes distribuyeron correos electrónicos de phishing de lanza que se hacen pasar por instituciones de confianza en Colombia, entregando señuelos de SVG con enlaces integrados a los stagers de JS / VBS alojados en plataformas públicas, o archivos ZIP protegidos con contraseña que contienen las cargas directamente», dijeron los investigadores de Acronis Santiago Pontiroli, Jozsef Gegeny e ilia Dafchev.
Los ataques condujeron al despliegue de troyanos de acceso remoto como Asyncrat y REMCOS RAT, con campañas recientes que también utilizan un cargador .NET asociado con Katz Stealer. Estas cadenas de ataque implican ocultar las cargas útiles dentro del texto codificado por Base64 de los archivos de imagen alojados en el archivo de Internet.
Un aspecto notable de la campaña es el uso de técnicas de contrabando SVG para ofrecer archivos de cremallera maliciosas utilizando archivos SVG. Estas cargas útiles están alojadas en servicios de intercambio de archivos como Bitbucket, Dropbox, Discord e Ydray. Los archivos de descarga contienen tanto ejecutivos legítimos como DLL maliciosos, la última de las cuales se resuelven para servir en última instancia a los troyanos.
«Una evolución natural de sus técnicas de contrabando anteriores de SVG, este actor de amenaza ha adoptado un cargador modular residente de la memoria que puede ejecutar cargas útiles dinámica y completamente en la memoria, dejando huellas mínimas», dijeron los investigadores.
«La presencia de cadenas de lenguaje portugués y parámetros de método dentro del cargador refleja TTP comúnmente observados en malware bancario brasileño, lo que sugiere una reutilización de código potencial, recursos de desarrollo compartido o incluso colaboración de actores interregionales».
ClickFix Surge provoca compromisos de transmisión
Los hallazgos también coinciden con un aumento en los ataques de ingeniería social que emplean la táctica de ClickFix para desplegar robadores y troyanos de acceso remoto como Lumma Stealer y Sectoprat bajo la apariencia de solucionar un problema o completar una verificación de Captcha.
Según las estadísticas compartidas por Reliaquest, los compromisos de manejo representaron el 23% de todas las tácticas basadas en phishing observadas entre marzo y mayo de 2025. «Las técnicas como ClickFix fueron fundamentales para las descargas de conducción», dijo la compañía de seguridad cibernética.
ClickFix es efectivo principalmente porque engaña a los objetivos para llevar a cabo acciones aparentemente inofensivas y cotidianas que es poco probable que generen banderas rojas, porque están tan acostumbrados a ver páginas de detección de Captcha y otras notificaciones. Lo que lo hace convincente es que los usuarios hagan el trabajo principal de infectar sus propias máquinas en lugar de tener que recurrir a métodos más sofisticados como explotar fallas de software.
«Los recursos remotos externos cayeron del tercer al cuarto lugar a medida que los atacantes explotan cada vez más los errores de los usuarios en lugar de las vulnerabilidades técnicas», dijo Reliaquest. «Este cambio probablemente esté impulsado por la simplicidad, la tasa de éxito y la aplicabilidad universal de las campañas de ingeniería social como ClickFix».