«Solo abre el archivo SVG»: cómo un adjunto en un correo puede poner tu ordenador en manos ajenas
Hackers logran ocultar comandos en lugares que los antivirus ni siquiera inspeccionan.
En una compleja estructura de ataques que utiliza publicidad maliciosa, gestión de DNS y esquemas de entrega en varias etapas, especialistas de Infoblox descubrieron la actividad de un ciberdelincuente conocido bajo el seudónimo Detour Dog. Este grupo administra una infraestructura relacionada con la difusión del troyano Strela Stealer, y emplea no solo botnets, sino también sitios vulnerables en WordPress, enmascarando la actividad como tráfico legítimo.
La cadena comienza con un archivo SVG infectado que, al abrirse, contacta con un recurso comprometido. A continuación, se envía al servidor de comando una consulta DNS con un registro de texto (TXT), que devuelve un comando codificado que contiene la dirección para descargar la siguiente etapa del programa malicioso: un shell simple llamado StarFish.
Este programa actúa como puente entre el sistema infectado y los operadores de Strela Stealer, proporcionándoles acceso remoto persistente.
La infraestructura Detour Dog se utiliza para alojar las fases iniciales del ataque e interactúa con varios botnets, incluidos REM Proxy y Tofsee. El primero está vinculado con el malware SystemBC y se propagó a través de routers MikroTik; el segundo era distribuido anteriormente mediante el cargador PrivateLoader. Precisamente estas redes son responsables del envío masivo de correos maliciosos que contienen adjuntos que conducen a la infección.
Los especialistas subrayan que una característica clave de la campaña fue la transmisión de comandos de control mediante registros DNS de tipo TXT, lo que hace que el tráfico sea difícil de rastrear y complica la detección. Los servidores DNS maliciosos controlados por Detour Dog pueden analizar consultas específicas y, en respuesta, entregar instrucciones para ejecutar código arbitrario.
Al mismo tiempo, los sitios comprometidos se comportan como sitios normales; solo en casos excepcionales redirigen a los usuarios a páginas fraudulentas o ejecutan código malicioso. Esta táctica reduce la probabilidad de detección y permite mantener el control de la infraestructura durante mucho tiempo.
Inicialmente Detour Dog se utilizó como mecanismo para redirigir tráfico a sitios falsos y recursos de estafa relacionados con la compañía Los Pollos del ecosistema VexTrio. Sin embargo, desde 2025 el grupo cambió a la distribución activa de programas maliciosos, presumiblemente debido a la disminución de la rentabilidad del esquema anterior.
Entre julio y agosto Infoblox y la Shadowserver Foundation lograron neutralizar dos dominios pertenecientes al bando atacante: webdmonitor[.]io y aeroarrows[.]io. No obstante, la actividad de la infraestructura continúa. Además, se hallaron indicios de que a través de esta red se distribuían otros programas maliciosos no vinculados directamente con Strela Stealer, lo que sugiere que Detour Dog presta servicios de entrega de software malicioso a clientes externos.
Todo el esquema está diseñado para ocultar el punto de origen de la infección, distribuir los componentes del ataque entre distintos servidores y engañar a quienes analizan los adjuntos de correo. Los sitios comprometidos actúan como eslabones intermedios, retransmitiendo comandos y archivos entre el operador y la víctima, lo que hace que el sistema sea resistente y dificulta su desactivación completa.
Las huellas digitales son tu debilidad, y los hackers lo saben