Un solo malware mantiene a México bajo control por cuarto año consecutivo

Las organizaciones mexicanas siguen siendo objetivo de una campaña cibercriminal persistente que utiliza versiones modificadas de los programas maliciosos AllaKore RAT y SystemBC. Según la información de los analistas de Arctic Wolf Labs, el ataque está vinculado al grupo Greedy Sponge, activo desde principios de 2021 y enfocado exclusivamente en obtener beneficios económicos.

Durante más de cuatro años, los atacantes han comprometido a una amplia gama de víctimas, desde empresas agrícolas y bancarias hasta entidades de transporte, entretenimiento y organismos gubernamentales. Esta amplitud de sectores se combina con una selectividad geográfica clara: el interés de los integrantes de Greedy Sponge se centra casi exclusivamente en México. Según los investigadores, la duración de la campaña y la ausencia de cambios significativos en la infraestructura apuntan a su eficacia.

El instrumento principal de los ataques sigue siendo una versión minuciosamente mejorada de AllaKore RAT, un troyano con funciones de control remoto, registro de pulsaciones de teclado, captura de pantalla, carga y descarga de archivos. La versión actual incorpora capacidades para interceptar datos bancarios e información de autenticación única, la cual es enviada a un servidor remoto para su uso fraudulento.

La primera descripción detallada del esquema apareció en enero de 2024 gracias al equipo de BlackBerry, que luego se integró a Arctic Wolf. Según su análisis, el vector de infección inicial suele basarse en correos electrónicos de phishing o archivos ZIP maliciosos distribuidos a través de enlaces comprometidos. Un ejemplo es el archivo “Actualiza_Policy_v01.zip”, que contiene un ejecutable legítimo de Chrome Proxy y un instalador MSI trojanizado que oculta el malware.

El archivo MSI utiliza un cargador embebido basado en .NET que solicita la carga útil desde una dirección remota (manzisuape[.]com/amw) y activa un script de PowerShell para eliminar rastros. Tras la instalación, se ejecuta AllaKore RAT, que puede descargar malware adicional si es necesario, como SystemBC. Este último convierte el equipo infectado en un nodo proxy compatible con el protocolo SOCKS5, lo que permite a los atacantes controlar el sistema en secreto y comunicarse con los servidores C2.

Desde mediados de 2024, la campaña ha adoptado medidas más avanzadas de geofiltrado. Si antes el filtrado por región (México) se realizaba en el cliente —dentro del cargador .NET del archivo MSI—, ahora este mecanismo se ha trasladado al servidor. El cambio tiene como objetivo dificultar el análisis técnico desde fuera del país objetivo.

La amenaza persiste en paralelo con otras campañas activas. En mayo de 2025, especialistas de eSentire detectaron una campaña de phishing que empleaba un nuevo servicio para ocultar malware: Ghost Crypt. En este caso, el código malicioso se distribuía a través de un archivo PDF que enlazaba a una carpeta de Zoho WorkDrive, donde se alojaba un cargador cifrado de PureRAT. Los actores convencían a la víctima de abrir el archivo de inmediato, tras lo cual un archivo DLL era inyectado en el proceso del sistema Windows “csc.exe” mediante una técnica conocida como "hipnosis de procesos".

Ghost Crypt apareció por primera vez en foros clandestinos en abril de 2025. Permite evadir las defensas de Microsoft Defender y soporta múltiples tipos de malware, desde infostealers (Lumma, StealC, Rhadmanthys) hasta cargadores y troyanos de acceso remoto (XWorm, DCRat, BlueLoader, entre otros).

Además, ha surgido una nueva variante de Neptune RAT (también conocido como MasonRAT), distribuida mediante cebos en JavaScript. Este malware puede extraer información confidencial, registrar pulsaciones, tomar capturas de pantalla, instalar programas tipo clipper y descargar archivos DLL adicionales.

Se han observado esquemas similares en otros ataques que utilizan instaladores maliciosos de Inno Setup como vector inicial. Estos activan a Hijack Loader (también conocido como IDAT Loader), el cual entrega RedLine Stealer, una herramienta de robo de información. Según Splunk, esta técnica replica de forma cercana los métodos del anteriormente extendido D3F@ck Loader, incluido el uso de scripts en Pascal para ejecutar la carga útil.

Así, la actividad de Greedy Sponge no sólo demuestra resiliencia y consistencia, sino que también ilustra cómo modificaciones menores en la infraestructura y el malware permiten a los atacantes operar en la sombra durante años. México, en este contexto, se convierte en una especie de zona de pruebas, donde el crimen cibernético con fines económicos actúa con confianza —y lo que es más preocupante, sin encontrar una resistencia significativa.