Marriott, Samsung y Edge en un mismo ataque: un único archivo ZIP puede dar a un atacante el control de tu equipo
Un clic inocente y, en menos de un minuto, pierdes el control de todo lo que haces.
El grupo BatShadow, vinculado a Vietnam, inició una nueva campaña maliciosa dirigida a quienes buscan empleo y a profesionales del marketing digital. Los atacantes se hacen pasar por reclutadores y envían a las posibles víctimas documentos falsos que supuestamente contienen descripciones de puestos. Al abrir esos archivos se activa una cadena de infección que instala en el dispositivo un programa malicioso llamado Vampire Bot, escrito en Go.
La difusión comienza con un archivo ZIP que contiene un cebo en forma de documento PDF y un archivo ejecutable malicioso disfrazado de PDF. Al activar el acceso directo falso se ejecuta un script de PowerShell que se conecta a un servidor remoto y descarga una supuesta descripción de la vacante presentada como un documento a nombre del hotel Marriott. Al mismo tiempo, el script descarga un archivo ZIP con componentes de XtraViewer —una utilidad de acceso remoto que, aparentemente, se usa para establecer persistencia en el sistema.
Las víctimas que acceden a la página falsa reciben un mensaje que indica que el navegador supuestamente no es compatible y les pide abrir el sitio en Microsoft Edge. Si aceptan, se abre otra pantalla que afirma una «falla en la vista en línea» y la transferencia automática del archivo al dispositivo. Se descarga un archivo ZIP con un ejecutable que imita visualmente un PDF al insertar espacios entre las extensiones «.pdf» y «.exe».
La etapa final es la instalación del propio Vampire Bot —un software malicioso capaz de recopilar información del sistema, tomar capturas periódicas, enviar los datos recopilados a un servidor remoto y ejecutar comandos de los atacantes. La dirección del servidor de control se camufla bajo un dominio estilizado como una división de la empresa Samsung, lo que dificulta la detección de la actividad.
Los indicadores que vinculan a BatShadow con Vietnam incluyen direcciones IP que se han usado previamente en ataques originados en ese país. Además, este tipo de campañas suelen dirigirse a especialistas en marketing, y los datos robados se emplean para tomar control de cuentas empresariales en redes sociales. Ataques similares ya se registraron en el pasado: en particular, en 2024 otro grupo vietnamita distribuyó el troyano Quasar RAT a través de descripciones de puestos maliciosas.
Por el uso de dominios que imitan grandes marcas, como «samsung-work[.]com», el grupo lleva actuando al menos un año. Anteriormente difundió malware conocidos, incluidos Agent Tesla, Lumma Stealer y Venom RAT. La última campaña solo confirma que los atacantes siguen empleando métodos complejos de ingeniería social, apostando por la confianza de los candidatos y por una cadena de entrega del malware cuidadosamente diseñada.
¿Estás cansado de que Internet sepa todo sobre ti?