Los cazadores de amenazas han expuesto una campaña novedosa que utiliza técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para dirigirse a dispositivos móviles de empleados y facilitar el fraude de nómina.
La actividad, detectada por primera vez por Reliaquest en mayo de 2025 dirigida a un cliente sin nombre en el sector manufacturero, se caracteriza por el uso de páginas de inicio de sesión falsas para acceder al portal de nómina de los empleados y redirigir los cheques de pago en cuentas bajo el control del actor de la amenaza.
«La infraestructura del atacante utilizó enrutadores de oficina en el hogar comprometidos y redes móviles para enmascarar su tráfico, esquivar la detección y pasar las medidas de seguridad tradicionales», dijo la compañía de seguridad cibernética en un análisis publicado la semana pasada.
«El adversario se dirigió específicamente a los dispositivos móviles de los empleados con un sitio web falso que se hace pasar por la página de inicio de sesión de la organización. Armado con credenciales robadas, el adversario obtuvo acceso al portal de nómina de la organización, cambió la información de depósito directo y redirigió los cheques de pago de los empleados en sus propias cuentas».
Si bien los ataques no se han atribuido a un grupo de piratería específico, Reliaquest dijo que es parte de una campaña más amplia y continua debido a dos incidentes similares que investigó a fines de 2024.
Todo comienza cuando un empleado busca el portal de nómina de su empresa en los motores de búsqueda como Google, con sitios web mirados engañosos que aparecen en la parte superior de los resultados utilizando enlaces patrocinados. Aquellos que terminan haciendo clic en los enlaces falsos conducen a un sitio de WordPress que redirige a una página de phishing que imita un portal de inicio de sesión de Microsoft cuando se lo visita desde un dispositivo móvil.
Las credenciales ingresadas en la página de destino falsa se exfiltran posteriormente a un sitio web controlado por el atacante, al tiempo que establece una conexión WebSocket de dos vías para alertar al actor de amenaza de las contraseñas robadas utilizando una API de notificaciones push impulsadas por Pusher.
Esto les da a los atacantes la oportunidad de reutilizar las credenciales lo antes posible antes de que se cambien y obtengan acceso no autorizado al sistema de nómina.
Además de eso, la orientación de dispositivos móviles de los empleados ofrece dos ventajas, ya que carecen de medidas de seguridad de grado empresarial que generalmente estén disponibles en las computadoras de escritorio y se conectan fuera de la red corporativa, reduciendo efectivamente la visibilidad y obstaculizando los esfuerzos de investigación.
«Al atacar dispositivos móviles sin protección que carecen de soluciones de seguridad y registro, esta táctica no solo evade la detección sino que también interrumpe los esfuerzos para analizar el sitio web de phishing», dijo Reliaquest. «Esto evita que los equipos de seguridad escaneen el sitio y lo agregen a los indicadores de alimentos de amenaza de compromiso (COI), lo que complica aún más los esfuerzos de mitigación».
En un intento adicional de evitar la detección, se ha encontrado que los intentos de inicio de sesión malicioso se originan en direcciones IP residenciales asociadas con enrutadores de la oficina en el hogar, incluidas las de marcas como Asus y Pakedge.
Esto indica que los actores de amenaza están explotando debilidades como defectos de seguridad, credenciales predeterminadas u otras configuraciones erróneas a menudo que afectan a dichos dispositivos de red para lanzar ataques de fuerza bruta. Los enrutadores comprometidos se infectan con malware que los alistan en botNets proxy, que finalmente se alquilan a los cibercriminales.
«Cuando los atacantes usan redes proxy, especialmente las vinculadas a las direcciones IP residenciales o móviles, se vuelven mucho más difíciles de detectar e investigar las organizaciones», dijo Reliaquest. «A diferencia de las VPN, que a menudo se marcan porque sus direcciones IP han sido abusadas antes, las direcciones IP residenciales o móviles permiten a los atacantes volar bajo el radar y evitar ser clasificados como maliciosos».
«Además, las redes proxy permiten a los atacantes hacer que su tráfico parezca que se origina en la misma ubicación geográfica que la organización objetivo, evitando las medidas de seguridad diseñadas para marcar los inicios de ubicaciones inusuales o sospechosas».
La divulgación se produce cuando Hunt.io detalló una campaña de phishing que emplea una página web falsa del servicio de archivos compartidos de Adobe para robar las credenciales de inicio de sesión de Microsoft Outlook con el pretexto de permitir el acceso a los archivos supuestamente compartidos por un contacto. Las páginas, según la empresa, se desarrollan utilizando el kit de phishing W3LL.
También coincide con el descubrimiento de un nuevo kit de phishing con nombre en código Cogui que se está utilizando para atacar activamente a las organizaciones japonesas al hacerse pasar por marcas de consumidores y finanzas como Amazon, PayPay, MyJCB, Apple, Oriico y Rakuten. Se han enviado hasta 580 millones de correos electrónicos entre enero y abril de 2025 como parte de las campañas que usan el kit.
«Cogui es un kit sofisticado que emplea técnicas de evasión avanzada, que incluyen geofencing, esgrima de encabezados y huellas dactilares para evitar la detección de sistemas de navegación automatizados y cajas de arena», dijo la firma de seguridad de Enterprise Proofpoint en un análisis publicado este mes. «El objetivo de las campañas es robar nombres de usuario, contraseñas y datos de pago».
Los correos electrónicos de phishing observados en los ataques incluyen enlaces que conducen a sitios web de credenciales de phishing. Dicho esto, es notable que las campañas de Cogui no incluyan capacidades para recopilar códigos de autenticación multifactor (MFA).
Se dice que Cogui fue utilizado desde al menos octubre de 2024, y se cree que comparte algunas similitudes con otro conocido kit de herramientas de phishing con el nombre de Darcula, lo que sugiere que el primero podría ser parte del mismo ecosistema de Phaas chino denominado Tríada Smithing Smithing que también incluye a Lucid y Lightthouse.
Dicho esto, un aspecto crucial que separa a Darcula de Cogui es que el primero se centra más en los dispositivos móviles y el amordazos, y tiene como objetivo robar detalles de la tarjeta de crédito.
«Darcula se está volviendo más accesible, tanto en términos de costo como de disponibilidad, por lo que podría representar una amenaza significativa en el futuro», dijo ProDaft a The Hacker News en un comunicado. «Por otro lado, Lucid continúa permaneciendo bajo el radar. Sigue siendo difícil identificar kits de phishing solo mirando mensajes SMS o patrones de URL, ya que a menudo usan servicios de entrega comunes».
Otro nuevo kit de strishing personalizable que ha surgido del panorama chino del delito cibernético es Panda Shop, que utiliza una red de canales de telegrama y bots interactivos para automatizar la prestación de servicios. Las páginas de phishing están diseñadas para imitar marcas populares y servicios gubernamentales para robar información personal. Los datos de la tarjeta de crédito interceptado se envían a las tiendas de cartas subterráneas y se venden a otros cibercriminales.
«En particular, los sindicatos cibercriminales chinos involucrados en el amordazos son descarados porque se sienten intocables», dijo ReseCurity. «Han enfatizado en sus comunicaciones que no les importan las agencias de aplicación de la ley de los Estados Unidos. Residiendo en China, disfrutan de completa libertad de acción y participan en muchas actividades ilegales».
Resecurity, que identificó Panda Shop en marzo de 2025, dijo que el actor de amenaza opera un modelo de crimen como servicio similar al de la tríada de amordazamiento, ofreciendo a los clientes la capacidad de distribuir mensajes de amordazos a través de Apple iMessage y Android RC utilizando cuentas de Apple y Gmail comprometidas compradas en gran parte.
Se cree que Panda Shop incluye a los miembros de la tríada de amante basado en las similitudes en los kits de phishing utilizados. También se ha observado que una pluralidad de actores de amenaza aprovechan el kit de amordazos para Google Wallet y Apple Pay Fraud.
«Los actores detrás de las campañas de amordazos están estrechamente relacionados con los involucrados en el fraude mercante y la actividad de lavado de dinero», dijo ReseCurity. «El amordazos es uno de los principales catalizadores detrás de las actividades de cardado, que proporciona cibercriminales con volúmenes sustanciales de datos comprometidos recopilados de las víctimas».