Los investigadores de ciberseguridad han señalado una operación a gran escala que se hace pasar por proyectos de código abierto y de software gratuito para canalizar a usuarios desprevenidos a través de un sistema de distribución de tráfico (TDS) y entregar familias de malware como Remus Stealer, AnimateClipper y el marco SessionGate.
«Los sitios están bien diseñados y a menudo parecen portales de proyectos legítimos a primera vista, a veces haciendo referencia a recursos reales», dijo el investigador de seguridad de Check Point, Alexey Bukhteyev, en un desglose de la campaña. «El engaño no está sólo en el contenido de la página, sino en lo que sucede cuando un usuario interactúa».
«Estas páginas cargan una capa de preparación de JavaScript alojada en CloudFront que convierte un clic en un botón/enlace de ‘descarga’ en una transferencia a un Sistema de Distribución de Tráfico (TDS). El TDS aplica una restricción estricta: estado de primera visita, confirmación de clic obligatoria, lógica anti-bot/anti-análisis, filtrado de VPN/centro de datos y limitación de frecuencia».
Se sospecha que la operación está diseñada para la adquisición y monetización de tráfico, mientras conduce a usuarios selectos a la infraestructura de entrega de malware. Algunos de los sitios identificados imitan herramientas confiables de seguridad e ingeniería inversa, como Ghidra, dnSpy y SpiderFoot.
Las cadenas de ataques se dirigen específicamente a los usuarios que buscan este tipo de herramientas en motores de búsqueda como Google, lo que hace que los sitios falsos aparezcan en la parte superior de los resultados de búsqueda. Fullstory documentó una versión temprana de la campaña en noviembre de 2025. La evidencia indica que la actividad ha estado en curso desde septiembre de 2025.
«Estos dominios se centran en obtener clasificaciones favorables en los motores de búsqueda aprovechando el nombre, la marca y la popularidad de los sitios web y proyectos originales», señaló en ese momento la empresa con sede en Atlanta. «Muchos sitios se encuentran en los primeros puestos de Google para el término de búsqueda relevante, a menudo eclipsando el sitio web del proyecto real. Esto hace que su visibilidad sea una ventaja y puede maximizar los enlaces y el contenido».
Aunque no había indicios de que alguno de estos dominios se utilizara para actividades maliciosas, aparte de generar contenido para generar tráfico y permitir a terceros anunciar sus propios sitios, los últimos hallazgos de Check Point muestran que los scripts TDS se incorporaron poco después y la infraestructura se reutilizó para la distribución de malware a partir de enero de 2026.
Al hacer clic en el botón «Descargar», se inicia una cadena de redireccionamiento TDS que resulta en la implementación de malware. Uno de los aspectos más llamativos es que al pasar el cursor sobre el botón se revela la URL legítima desde donde se puede descargar la herramienta, otorgando así al sitio una apariencia de legitimidad.
Las cadenas de redireccionamiento también están diseñadas de manera que los intentos repetidos de ingresar desde la misma dirección IP resulten en la descarga de software benigno, como el navegador Opera o extensiones de navegador innecesarias. Algunas de las cargas útiles distribuidas a través de este TDS se enumeran a continuación:
- Puerta de sesiónun cargador ofuscado de múltiples etapas previamente desconocido que se utiliza para entregar aplicaciones potencialmente no deseadas (PUA) al mismo tiempo que incorpora amplios mecanismos anti-análisis para eliminar las zonas de pruebas al pasar a una experiencia de instalación benigna.
- Remus ladrónun nuevo ladrón de información que se ofrece bajo un modelo de malware como servicio (MaaS), puede robar datos de más de 20 navegadores, incluidos cientos de extensiones y aplicaciones de navegador, como billeteras de criptomonedas, herramientas de autenticación de dos factores y administradores de contraseñas. Se cree que Remus es una variante de Lumma Stealer.
- AnimarClipperun cortapelos de criptomonedas que puede sustituir direcciones de billetera copiadas en el portapapeles y secuestrar transacciones en más de 20 ecosistemas blockchain. Se entrega mediante un señuelo ClickFix.
Un análisis de la telemetría de VirusTotal ha revelado aproximadamente entre 2000 y 3500 envíos de muestras asociadas con la familia SessionGate hasta la fecha. La gran mayoría de las presentaciones provienen de Turquía, Polonia, Brasil, Alemania, Francia, Rusia y el Reino Unido.
El objetivo final de la secuencia de infección SessionGate es eliminar una carga útil que sea única por cliente y se entregue solo después de atravesar la ruta de redireccionamiento de un extremo a otro. La cadena de entrega de múltiples etapas, combinada con una lógica de validación extensa y activación del lado TDS, está diseñada para resistir el análisis y hacer que la recuperación de la carga útil sea una tarea desafiante para los analistas.
La carga útil final de la DLL es responsable de comunicarse con un servidor externo, recuperar una configuración cifrada del servidor, extraer la URL de descarga de la configuración y descargar y ejecutar silenciosamente el malware de la siguiente etapa a través de «cmd.exe».
«Los sitios de entrada imitan portales legítimos de proyectos de código abierto, conservan enlaces reales de GitHub para pasar verificaciones visuales rápidas y luego utilizan la interceptación de clics para enrutar el primer clic de descarga a una pila TDS cerrada», dijo Bukhteyev.
«El objetivo principal más plausible es la adquisición de tráfico y la monetización. Sin embargo, al incorporar una capa TDS cerrada y canalizar el tráfico de búsqueda en ella, los operadores se convierten en parte de una cadena de distribución cuyos consumidores posteriores pueden incluir distribuidores de malware. El mismo canal de tráfico que impulsa la monetización gris también puede enrutar selectivamente a usuarios reales a cargas útiles maliciosas».