¿Descargaste PuTTY? ¡Felicidades! Tienes un troyano

En abril de 2025, los especialistas de Cisco Talos detectaron una nueva ciberamenaza: los atacantes están utilizando repositorios públicos en GitHub como plataforma para alojar programas maliciosos involucrados en la propagación del troyano Amadey. Según los investigadores, la creación de cuentas falsas en GitHub permitió a los atacantes no solo eludir los filtros web, sino también simplificar la logística de la campaña maliciosa.

En el centro de este esquema se encuentra el descargador Emmenhtal (también conocido como PEAKLIGHT), a través del cual Amadey llega a los dispositivos de las víctimas. Una vez instalado, descarga diversos módulos maliciosos directamente desde GitHub, incluidos complementos para Amadey que amplían su funcionalidad. Anteriormente, Emmenhtal se utilizó en una campaña de phishing similar en febrero de 2025, durante la cual SmokeLoader se distribuyó mediante facturas y notificaciones de pago falsas.

Emmenhtal y Amadey actúan como descargadores de programas maliciosos posteriores, incluidos ladrones de información y ransomware. Sin embargo, a diferencia de Emmenhtal, Amadey tiene la capacidad integrada de recopilar información del sistema y puede ampliarse mediante complementos en forma de bibliotecas DLL, que proporcionan acceso a funciones como el robo de credenciales y la creación de capturas de pantalla.

En la operación de los hackers se utilizaron tres cuentas de GitHub: Legendary99999, DFfe9ewf y Milidmdds. A través de ellas se distribuyeron herramientas de ataque, complementos de Amadey y módulos maliciosos adicionales, incluidos Lumma Stealer, RedLine Stealer y Rhadamanthys Stealer. Todas las cuentas mencionadas ya han sido eliminadas por la administración de GitHub.

Parte de los scripts maliciosos en JavaScript de estos repositorios coinciden completamente con los utilizados en una campaña anterior con SmokeLoader. La diferencia clave está en los componentes maliciosos descargados: ahora se utiliza Amadey en lugar de SmokeLoader, así como AsyncRAT e incluso una versión legítima de PuTTY.exe, lo que dificulta la detección de la amenaza.

Además, en uno de los repositorios se descubrió un script en Python que representa una versión mejorada de Emmenhtal. Contiene un comando PowerShell integrado, mediante el cual Amadey se descarga desde una dirección IP previamente especificada. Esto confirma la existencia de un esquema criminal a gran escala MaaS, en el que GitHub se utiliza como medio para entregar software malicioso.

Simultáneamente, la empresa Trellix presentó un informe sobre otra campaña de phishing dirigida a organizaciones financieras de Hong Kong. En su centro se encuentra el descargador SquidLoader, que combina una gran cantidad de técnicas de evasión de análisis, depuración y emulación, lo que lo hace especialmente difícil de detectar. Tras una infección exitosa, instala el módulo Cobalt Strike para el acceso remoto y el control del sistema.

En campañas paralelas en todo el mundo, se observan métodos cada vez más sofisticados de ingeniería social dirigidos a la propagación de programas maliciosos. Entre ellos se incluyen temas fiscales, recibos electrónicos, cartas en nombre de organismos gubernamentales, incluidas falsificaciones de servicios estadounidenses. Incluso se utilizan códigos QR en archivos PDF que conducen a páginas de inicio de sesión falsas, y kits de phishing que se hacen pasar por servicios de Amazon Web Services y están protegidos con CAPTCHA de Cloudflare.

Es especialmente destacable el crecimiento en la popularidad de métodos para eludir los sistemas de seguridad, como archivos comprimidos con contraseña, archivos SVG con JavaScript incrustado y servicios completos para “camuflar” sitios maliciosos como seguros — CaaS (cloaking-as-a-service).

Según datos de Cofense, casi el 60% de los ataques técnicamente más complejos en 2024 utilizaron códigos QR, y los archivos comprimidos protegidos siguen siendo una forma clave de eludir los filtros de correo electrónico, haciendo que los ataques sean cada vez más difíciles de detectar.