La infraestructura de actualización del antivirus eScan, una solución de seguridad desarrollada por la empresa india de ciberseguridad MicroWorld Technologies, ha sido comprometida por atacantes desconocidos para entregar un descargador persistente a los sistemas empresariales y de consumo.
«Se distribuyeron actualizaciones maliciosas a través de la infraestructura de actualización legítima de eScan, lo que resultó en la implementación de malware de múltiples etapas en terminales empresariales y de consumidores a nivel mundial», dijo el investigador de Morphisec, Michael Gorelik.
MicroWorld Technologies reveló que detectó un acceso no autorizado a su infraestructura e inmediatamente aisló los servidores de actualización afectados, que permanecieron fuera de línea durante más de ocho horas. También lanzó un parche que revierte los cambios introducidos como parte de la actualización maliciosa. Se recomienda a las organizaciones afectadas que se comuniquen con MicroWorld Technologies para obtener la solución.
También identificó el ataque como resultado de un acceso no autorizado a una de sus configuraciones de servidor de actualización regional, lo que permitió a los actores de la amenaza distribuir una actualización «corrupta» a los clientes durante un «período de tiempo limitado» de aproximadamente dos horas el 20 de enero de 2026.
«eScan experimentó una interrupción temporal del servicio de actualización a partir del 20 de enero de 2026, lo que afectó a un subconjunto de clientes cuyos sistemas descargan actualizaciones automáticamente durante un período de tiempo específico, desde un grupo de actualizaciones específico», dijo la compañía en un aviso emitido el 22 de enero de 2026.
«El problema se debió al acceso no autorizado a la infraestructura del servidor de actualización regional. El incidente ha sido identificado y resuelto. Hay disponible una solución integral que aborda todos los escenarios observados».
Morphisec, que identificó el incidente el 20 de enero de 2026, dijo que la carga útil maliciosa interfiere con la funcionalidad normal del producto, impidiendo efectivamente la reparación automática. Esto implica específicamente entregar un archivo malicioso «Reload.exe» que está diseñado para eliminar un descargador, que contiene funcionalidad para establecer persistencia, bloquear actualizaciones remotas y contactar un servidor externo para recuperar cargas útiles adicionales, incluido «CONSCTLX.exe».
Según los detalles compartidos por Kaspersky, «Reload.exe», un archivo legítimo ubicado en «C:Program Files (x86)escanreload.exe», se reemplaza por una contraparte maliciosa que puede impedir futuras actualizaciones del producto antivirus modificando el archivo HOSTS. Está firmado con una firma digital falsa e inválida.
«Cuando se inicia, este archivo reload.exe comprueba si se ha iniciado desde la carpeta Archivos de programa y, en caso contrario, se cierra», dijo la empresa rusa de ciberseguridad. «Este ejecutable se basa en la herramienta UnmanagedPowerShell, que permite ejecutar código PowerShell en cualquier proceso. Los atacantes modificaron el código fuente de este proyecto agregándole una capacidad de derivación de AMSI y lo usaron para ejecutar un script PowerShell malicioso dentro del proceso reload.exe».
La responsabilidad principal del binario es lanzar tres cargas útiles de PowerShell codificadas en Base64, que están diseñadas para:
- Modifique la solución eScan instalada para evitar que reciba actualizaciones y detecte los componentes maliciosos instalados.
- Omitir la interfaz de escaneo antimalware de Windows (AMSI)
- Compruebe si la máquina víctima debería infectarse más y, en caso afirmativo, envíele una carga útil basada en PowerShell.
El paso de validación de la víctima examina la lista de software instalado, procesos en ejecución y servicios con una lista de bloqueo codificada que incluye herramientas de análisis y soluciones de seguridad, incluidas las de Kaspersky. Si se detectan, no se entregan más cargas útiles.
La carga útil de PowerShell, una vez ejecutada, contacta a un servidor externo para recibir dos cargas útiles a cambio: «CONSCTLX.exe» y un segundo malware basado en PowerShell que se inicia mediante una tarea programada. Vale la pena señalar que el primero de los tres scripts de PowerShell mencionados anteriormente también reemplaza el componente «C:Program Files (x86)eScanCONSCTLX.exe» con el archivo malicioso.
«CONSCTLX.exe» funciona iniciando el malware basado en PowerShell, además de cambiar la hora de la última actualización del producto eScan a la hora actual escribiendo la fecha actual en el archivo «C:Program Files (x86)eScanEupdate.ini» para dar la impresión de que la herramienta está funcionando como se esperaba.
El malware PowerShell, por su parte, realiza los mismos procedimientos de validación que antes y envía una solicitud HTTP a la infraestructura controlada por el atacante para recibir más cargas útiles de PowerShell del servidor para su posterior ejecución.
El boletín de eScan no dice qué servidor de actualización regional se vio afectado, pero el análisis de Kaspersky de los datos de telemetría ha revelado «cientos de máquinas pertenecientes tanto a individuos como a organizaciones» que encontraron intentos de infección con cargas útiles relacionadas con el ataque a la cadena de suministro. Estas máquinas están ubicadas principalmente en India, Bangladesh, Sri Lanka y Filipinas.
El equipo de seguridad también señaló que los atacantes tuvieron que haber estudiado en detalle los componentes internos de eScan para comprender cómo funcionaba su mecanismo de actualización y cómo se podía manipular para distribuir actualizaciones maliciosas. Actualmente no se sabe cómo los actores de amenazas lograron asegurar el acceso al servidor de actualización.
«En particular, es bastante singular ver cómo se implementa malware a través de una actualización de la solución de seguridad», dijo. «Los ataques a la cadena de suministro son poco comunes en general, y mucho menos los orquestados a través de productos antivirus».