El cazador se convierte en presa: cómo los «expertos en seguridad» terminan infectándose al descargar herramientas para detectarlos
La comunidad de expertos enfrenta una amenaza hábilmente disfrazada de ayuda.
En medio del flujo constante de nuevos CVE aparecen cada vez más «soluciones listas» que parecen una forma rápida de comprobar una vulnerabilidad, pero que en realidad resultan ser un cebado. Esta vez el malware WebRAT empezó a distribuirse a través de repositorios en GitHub, disfrazados de PoC-exploits para problemas de seguridad descritos recientemente.
WebRAT — es un backdoor con funciones de robo de datos que apareció a principios de 2025 y que anteriormente se difundía a través de software pirata y trucos para Roblox, Counter Strike y Rust. Según la empresa SOLAR, el malware es capaz de robar credenciales de Steam, Discord y Telegram, así como datos de billeteras criptográficas. Además, puede tomar capturas de pantalla y vigilar a la víctima mediante la cámara web.
Según informa Laboratorio Kaspersky, desde septiembre los operadores de WebRAT cambiaron a una leyenda más «técnica»: en GitHub se publicaban repositorios bien presentados que supuestamente contenían exploits para vulnerabilidades de las que habían hablado los medios.
Entre los cebos se encontraban: CVE-2025-59295 (desbordamiento de búfer en el componente MSHTML/Internet Explorer de Windows con posibilidad de ejecución remota de código), CVE-2025-10294 (evasión crítica de autenticación en el complemento OwnID Passwordless Login para WordPress) y CVE-2025-59230 (elevación de privilegios en el servicio RasMan de Windows hasta el nivel SYSTEM). En total, los especialistas encontraron 15 repositorios de este tipo, y las descripciones eran muy similares y recordaban a textos generados por IA.
Los falsos «exploits» se distribuían como un archivo ZIP con contraseña. En su interior había un archivo vacío cuyo nombre coincidía con la contraseña, una DLL señuelo corrupta, un archivo batch para ejecutar la cadena y el cargador principal rasmanesc.exe. El cargador elevaba privilegios, desactivaba Windows Defender y luego descargaba y ejecutaba WebRAT desde una dirección predefinida. El malware podía persistir en el sistema de varias maneras: mediante cambios en el registro, el programador de tareas y la copia en directorios del sistema aleatorios.
Todos los repositorios detectados ya han sido eliminados; sin embargo, el esquema sigue vigente: nuevos cebos aparecen fácilmente con otros nombres. Al trabajar con PoC y «exploits» ajenos procedentes de fuentes no verificadas, es crucial ejecutarlos solo en un entorno aislado y controlado.
¿Estás cansado de que Internet sepa todo sobre ti?