El primer resultado en Google es una trampa: 20 programas populares del top de búsqueda resultaron ser virus

Los especialistas de NCC Group se toparon con una rara fortuna: los hackers del grupo Silver Fox olvidaron proteger su propio panel web, a través del cual controlaban las «descargas» de instaladores infectados de programas populares. Al asomarse, los analistas vieron cómo funciona un esquema a gran escala de envenenamiento SEO: los atacantes levantan sitios duplicados, los posicionan en las búsquedas como si fueran páginas oficiales y distribuyen a los usuarios versiones troyanizadas de aplicaciones habituales —desde mensajeros hasta VPN y utilidades para acceso remoto.

Según el informe, la campaña se orienta principalmente al público de habla china y organizaciones en China, pero también se encuentran rastros de infecciones en otras regiones —desde países de la región de Asia-Pacífico hasta Europa y América del Norte. Las estadísticas internas del panel encontrado muestran que, en una semana, la mayoría de los clics provinieron de China continental, una proporción notable correspondió a EE. UU. y Hong Kong; además, la actividad se registró al menos desde julio de 2025, lo que apunta a un trabajo prolongado y sistemático de la infraestructura.

El hallazgo clave fue el propio «panel de control de enlaces» en el dominio ssl3[.]space: en esencia, es una herramienta de los operadores que recopilaba telemetría —cuando el usuario pulsaba el botón «Descargar», de dónde procedía y con qué frecuencia se producían esos clics. Los analistas describen el esquema de forma sencilla: en la página de descarga, un código oculto envía al servidor una solicitud del tipo «clic en este cebo», y el panel luego organiza todo por fechas, «sufijos» y páginas cebos. Precisamente así los investigadores pudieron reconstruir la lista de aplicaciones que los atacantes abusaron y evaluar la geografía.

Entre los cebos no están solo los casos previamente descritos con un instalador falso de Microsoft Teams. Según NCC, Silver Fox promocionó instaladores infectados de al menos dos decenas de programas populares: aparecen nombres como Telegram, Signal, OpenVPN, WPS Office, Sogou, ToDesk, Youdao y otros; además, la «descarga» a menudo no llevaba al usuario a un archivo directo, sino a una página intermedia con redirección a servicios de almacenamiento en la nube. El informe subraya que la infraestructura utilizó activamente nubes públicas —incluidas Tencent Cloud y Alibaba Cloud, así como Backblaze—, lo que complica los bloqueos y facilita cambiar rápidamente de plataforma.

Un detalle adicional, que casi parece una trama, fue el intento de confundir a los investigadores con una «falsa bandera». Antes, los socios de NCC en el sector sospechaban que la campaña podía disfrazarse como actores de habla rusa, y el nuevo informe añade matices: en algunos casos los archivos y componentes recibieron nombres con caracteres cirílicos, creando la impresión de una «pista rusa». Sin embargo, todo lo demás —la elección de objetivos, el conjunto de cebos y la infraestructura asociada— encaja en el patrón de actividad de Silver Fox, que también se conoce por varios nombres alternativos y se vincula con China.

Técnicamente, la mayoría de las muestras analizadas remiten a la familia ValleyRAT —un troyano modular de acceso remoto que se integra en la cadena mediante un «instalador engañoso». En el ejemplo del instalador falso de ToDesk, los investigadores describen el escenario típico: tras ejecutarse, el «instalador» desempaqueta componentes en directorios temporales, disfraza la carga útil como archivos inofensivos y ejecuta la DLL mediante el legítimo rundll32.exe. En algunas variantes se detectaron intentos de debilitar las defensas de Windows —por ejemplo, añadir amplias exclusiones en Microsoft Defender mediante PowerShell— para facilitar el trabajo posterior del malware. Para comunicarse con la infraestructura de control se registraron conexiones a nodos en Hong Kong en puertos no estándar, y después se cargaban componentes adicionales.

La principal conclusión práctica es bastante prosaica: incluso con políticas corporativas «correctas», el punto de entrada sigue siendo la persona y la búsqueda en internet. Si los empleados necesitan descargar con regularidad mensajeros, clientes VPN o utilidades de acceso remoto, el riesgo aumenta drásticamente —especialmente en empresas con equipos de habla china u operaciones en China. En esos casos conviene restringir con más rigor la ejecución de instaladores desde carpetas temporales, prestar mayor atención a los resultados de búsqueda por nombre del software y, siempre que sea posible, recurrir a catálogos oficiales y canales de distribución verificados, en lugar de al «primer enlace en Google».