Operación brasileña Phantom Enigma: la extensión canta, Mesh Agent dirige y el dinero desaparece

Positive Technologies ha detectado a inicios de 2025 una campaña maliciosa a gran escala denominada Phantom Enigma, centrada principalmente en usuarios de Brasil. Los vectores de ataque incluyeron correos de phishing, extensiones maliciosas para los navegadores Google Chrome, Microsoft Edge y Brave, así como herramientas de control remoto como Mesh Agent y PDQ Connect Agent.

La campaña de phishing se realizaba tanto desde servidores falsificados como desde infraestructuras legítimas de emisas comprometidas, lo que aumentaba la confianza de las víctimas. Se les ofrecía descargar un archivo —un script BAT o MSI— supuestamente con una factura. Al ejecutarlo, se desplegaba un script de PowerShell que instalaba una extensión desde Chrome Web Store o desde un directorio local.

La extensión, con el ID nplfchpahihleeejpjmodggckakhglee, se conectaba al servidor financial-executive[.]com y recolectaba credenciales de los usuarios, incluidas contraseñas y tokens, especialmente del banco Banco do Brasil. En su código se hallaron variables en alemán y portugués.

Uno de los métodos evitaba la tienda Web Store: mediante un instalador MSI y JavaScript integrado se lanzaban los navegadores con el parámetro --load-extension. Los accesos directos eran reemplazados y los originales eliminados.

Otro vector consistía en el uso de Mesh Agent. A través del mismo phishing, la víctima recibía un MSI que instalaba Mesh Agent y conectaba el dispositivo al dominio mesh.computadorpj[.]com, permitiendo a los atacantes controlar el sistema, extraer información y desplazarse por la red de la emisa.

En los servidores de los atacantes se halló un directorio abierto con scripts de PowerShell, instaladores, extensiones maliciosas y un listado de víctimas. El archivo resultados.txt contenía 70 dominios de emisas utilizadas como origen de los correos.

Una de las extensiones fue descargada más de 700 veces desde la Chrome Web Store. Además de Brasil, hubo infecciones en Rusia, Chequia, Vietnam, Colombia y México. El objetivo principal: el robo de datos bancarios.

La infraestructura Phantom Enigma incluía los dominios clientepj[.]com, computadorpj[.]com, financial-executive[.]com, ranchocentral[.]com y los IPs 142.54.185.178 y 107.174.231.26. También se usaron repositorios en GitHub y paquetes firmados con atributos falsificados.

Positive Technologies clasificó la campaña según técnicas de MITRE ATT&CK: phishing, inyección mediante extensiones, modificación de accesos directos, ocultación, ejecución de cargas útiles vía PowerShell e instalación por MSI. Herramientas como PT Sandbox, PT NAD y MaxPatrol detectan actividad tanto de extensiones como de Mesh Agent.

Las extensiones maliciosas ya han sido eliminadas de Chrome Web Store, pero la infraestructura sigue activa. Positive Technologies continúa el monitoreo y recomienda a las emisas de América Latina y otras regiones reforzar la seguridad del correo y navegador, restringir la instalación de extensiones y utilizar detectores de RATs.