Campaña de phishing en redes sociales usa script Python de código abierto para instalar malware persistente

Por: Fecha de publicación:

 

Un reporte reciente del equipo de Threat Research de ReliaQuest ha revelado una campaña de phishing sofisticada que aprovecha mensajes privados en redes sociales para entregar malware en forma de troyano de acceso remoto (RAT) en sistemas Windows, empleando una combinación de técnicas que hacen que la amenaza sea difícil de detectar y muy peligrosa para organizaciones y usuarios de alto perfil.

Lo que hace particularmente preocupante a esta campaña es que los atacantes no crean su propio malware desde cero, sino que abusan de herramientas legítimas de código abierto, incluyendo un script de Python diseñado originalmente para pruebas de seguridad, para facilitar la implantación del malware y evadir muchas defensas tradicionales.

Cómo se desarrolla la campaña desde el primer contacto

1. Phishing dirigido vía redes sociales

La operación comienza con un mensaje de phishing enviado a través de mensajes privados en plataformas como LinkedIn, donde los atacantes se hacen pasar por contactos profesionales o figuras relevantes para los objetivos.

Los mensajes incluyen un enlace para descargar un archivo malicioso empaquetado, que supuestamente contiene información relacionada con el trabajo o documentos importantes.

2. Entrega y ejecución del malware

La víctima descarga un archivo WinRAR autoextraíble (SFX) que contiene:

  • Un lector de PDF legítimo.

  • Una DLL maliciosa diseñada para ser cargada por el programa.

  • Un intérprete de Python portátil.

  • Un archivo señuelo.

Los nombres de los archivos son adaptados según el objetivo (por ejemplo, “Project_Report.pdf”).

3. Técnica de DLL sideloading

Cuando la víctima abre el lector PDF, este carga automáticamente la DLL maliciosa, lo que permite que el código del atacante se ejecute dentro de un proceso legítimo.

Esto reduce drásticamente la detección, ya que el proceso no parece sospechoso a simple vista.

4. Persistencia y ejecución en memoria

La DLL maliciosa:

  1. Instala el intérprete de Python.

  2. Crea una clave de ejecución persistente en el Registro de Windows.

Luego ejecuta un script en Base64, sin dejar rastros visibles en el disco, dificultando el análisis y la detección.

5. Comunicación con servidor C2

Tras ejecutarse, el script intenta contactar un servidor de comando y control, típico de un RAT.
Esto podría permitir al atacante:

  • Robar información

  • Controlar el sistema

  • Realizar movimientos laterales

  • Ejecutar comandos arbitrarios

Por qué esta campaña es especialmente peligrosa

Uso de herramientas legítimas

El ataque depende de herramientas comunes como WinRAR, lectores PDF y Python portátil, reduciendo la posibilidad de detección.

Phishing fuera del correo electrónico

El phishing se realiza en redes sociales, donde las empresas suelen tener menos controles de seguridad.

Objetivos de alto perfil

El ataque está dirigido a usuarios con roles críticos, como administradores o ejecutivos con acceso sensible.

Esta campaña demuestra la evolución de los ciberataques modernos:
se basan menos en malware complejo y más en abuso de herramientas legítimas, ingeniería social en redes sociales y técnicas avanzadas como DLL sideloading y ejecución en memoria.

Las organizaciones deben ampliar su atención a vectores menos tradicionales, como plataformas sociales, para evitar este tipo de infiltraciones.

🏷️ Fuente de la información

Este artículo se basa en el reporte original publicado por ReliaQuest:
“Threat Spotlight: Open-Source Python Script Drives Social Media Phishing Campaign”
Disponible en: reliaquest.com/blog/threat-spotlight-open-source-python-script-drives-social-media-phishing-campaign

Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

¿La IA aumenta nuestra velocidad en cuanto a productividad?

Por: Fecha de publicación:
Imagen
  Un estudio experimental de Model Evaluation and Transparency Research (METR) midió cómo afecta el uso de herramientas de IA (por ejemplo, asistentes de código como Cursor Pro con modelos como Claude 3.5/3.7 ) a desarrolladores con experiencia trabajando en repositorios de código abierto que conocían bien Los desarrolladores experimentados tardaron un 19% más de tiempo en completar tareas cuando usaron IA comparado con cuando no la usaron. Y antes de usarla, se esperaba que la IA acelerara su trabajo hasta ~24% , y después seguían creyendo que estaban más rápidos (~20%) , aunque los datos mostraban lo contrario.  Esto tiene sus motivos, un uso imperfecto de las herramientas(prompts demasiado simples), familiaridad aún limitada con las interfaces de la IA, estándares de calidad muy altos en el proyecto exigido, insuficiente cobertura de casos complejos por parte de los modelos de IA, distraerse explorando resultados de la IA en vez de avanzar a lo propuesto, en resumidas pal...
Leer más