«Instalen Adobe Reader y los hackearemos»: SideWinder ha perfeccionado una nueva estafa contra diplomáticos
La cadena de contagios se volvió tan larga y enrevesada que los investigadores tuvieron que rastrearla durante seis meses.
El ataque de septiembre contra la embajada de un país europeo en Nueva Delhi reveló una amplia operación de espionaje, en la que participaron las misiones diplomáticas de varios Estados de Asia del Sur. Los especialistas de Trellix vincularon estas acciones con el grupo SideWinder, conocido por su actividad en la región. Una nueva fase de la campaña se caracterizó por un cambio de métodos: además de los habituales documentos Word maliciosos, los atacantes pasaron a usar archivos PDF con un esquema de carga integrado mediante ClickOnce.
Los correos de phishing se difundieron en varias oleadas de marzo a septiembre de 2025. En la primera ola, los ataques afectaron a instituciones de Bangladés, donde a los destinatarios se les pedía abrir supuestos documentos oficiales relacionados con la peregrinación del Hajj, con la petición de instalar la última versión de Adobe Reader para ver el contenido.
Los enlaces a descargas maliciosas se camuflaban como sitios con apariencia de recursos gubernamentales del país. En la segunda fase, que se extendió hasta agosto, el objetivo se desplazó hacia diplomáticos paquistaníes. Entonces, al falso actualizador de Adobe Reader se añadió un archivo Word con la vulnerabilidad CVE-2017-0199. Los documentos de esta ola imitaban documentación oficial relacionada con nombramientos militares y gubernamentales.
En verano y otoño los ataques se trasladaron a Sri Lanka y luego regresaron a la India, donde misiones diplomáticas fueron atacadas mediante archivos falsos que contenían temas de reuniones intergubernamentales, agendas de visitas oficiales y análisis del conflicto entre India y Pakistán. Técnicamente, el elemento clave del ataque fue archivo PDF, en el que el usuario se encontraba con contenido no visible y una invitación a instalar Adobe Reader. Pulsar el botón iniciaba la descarga de una aplicación ClickOnce desde los servidores de los atacantes.
Estas aplicaciones estaban firmadas con un certificado válido de la empresa MagTek Inc., lo que permitía eludir las advertencias de Windows. Sin embargo, en lugar de una falsificación maliciosa se utilizó una aplicación legítima de MagTek en la que se cargaba de forma inadvertida una biblioteca DLL con código malicioso. La biblioteca DEVOBJ.dll realizaba el descifrado y el inicio de la siguiente etapa del ataque: el cargador .NET App.dll, que a su vez cargaba el componente principal conocido como ModuleInstaller.
ModuleInstaller analizaba el sistema, tras lo cual descargaba un conjunto de archivos adicionales: bibliotecas auxiliares, objetos cifrados y el archivo ejecutable principal TapiUnattend.exe. Este último se utilizaba para cargar de forma secundaria otra DLL — wdscore.dll, que contenía funcionalidad de espionaje.
El eslabón final de la cadena era StealerBot — un módulo ampliable mediante complementos, incluido el módulo IPHelper para el proxy del tráfico. Toda la comunicación con los servidores de control se realizaba a través de HTTPS utilizando geobloqueos, que restringían el acceso a los componentes maliciosos por criterio geográfico.
Los atacantes utilizaron URL generadas dinámicamente y restricciones temporales en la disponibilidad de los componentes. Esto hacía prácticamente imposible un análisis repetido de las muestras ya descargadas: la mayoría de los dominios quedaban inactivos con rapidez. Además, casi cada archivo se compilaba de forma individual para el destinatario concreto, lo que descartaba el uso de indicadores de compromiso estándar.
La atribución de esta operación al grupo SideWinder se basa en un conjunto de factores: objetivos típicos en Asia del Sur, temas similares en los correos de phishing, el uso de herramientas maliciosas propias y una infraestructura conocida por incidentes previos. Dominios previamente registrados vinculados a este grupo reaparecieron durante la investigación, y la combinación de archivos PDF, cargadores y módulos espía repite los métodos registrados en ataques previos de SideWinder.
Según los investigadores, esta campaña demuestra un alto nivel de preparación y atención al ocultamiento de la actividad. El uso de aplicaciones reales firmadas, el filtrado geográfico y el cambio constante de infraestructura confirman que SideWinder sigue ampliando su arsenal y perfeccionando su técnica, atacando de forma dirigida a las estructuras gubernamentales de la región.
¿Estás cansado de que Internet sepa todo sobre ti?