Cuando «Descargar ahora» se convierte en «Hackéame ahora»: qué le ocurrió al editor EmEditor

A finales de diciembre, alrededor del popular editor de texto EmEditor surgió una desagradable «sorpresa» de nivel cadenas de suministro: según el desarrollador, del 19 al 22 de diciembre de 2025 el botón de descarga en el sitio oficial pudo haber entregado no el instalador original, sino un MSI falsificado con una firma digital ajena. En la firma del archivo sospechoso figuraba la organización WALSHAM INVESTMENTS LIMITED en lugar de Emurasoft, Inc.; y precisamente eso se convirtió en la principal señal de alarma para quienes descargaron el instalador en ese periodo.

El aviso oficial de EmEditor apareció el 23 de diciembre. La compañía informó que durante la «ventana de riesgo» el redireccionamiento del botón Download Now probablemente fue alterado por un tercero, por lo que los usuarios podrían haber recibido un archivo no proveniente de Emurasoft. El desarrollador pide verificar la firma y el hash del archivo descargado emed64_25.4.3.msi y subraya: las actualizaciones mediante el mecanismo integrado de EmEditor, las descargas directas desde download.emeditor.info, la versión portable, la versión de tienda y la instalación a través de winget no se ven afectadas por este incidente.

Casi al mismo tiempo, el equipo chino de analistas QiAnXin declaró que también detectó este caso en sus flujos de amenazas, interceptó la continuación de la cadena y recuperó, según afirman, el conjunto completo de la carga útil. La lógica de los investigadores es simple: EmEditor es popular entre los técnicos — desarrolladores, administradores, ingenieros de soporte — por lo que un instalador «sustituido» exitoso puede causar una filtración perjudicial a nivel de organizaciones donde por las estaciones de trabajo circula información sensible.

Según la descripción de QiAnXin, el MSI malicioso contenía un script que ejecutaba comandos de PowerShell y empezaba por intentar «silenciar» el registro para complicar la investigación. A continuación recopilaba información básica del sistema —versión del SO, nombre de usuario y otros parámetros— y generaba una clave RSA para cifrar lo que fuera robado. La primera remesa de datos, según se afirma, se enviaba a un servidor de control en una dirección que se hacía pasar por un dominio legítimo de EmEditor: emeditorgb.com con un identificador único de la víctima en la solicitud.

A continuación comenzaba la rutina típica de los infostealers modernos. El informe habla de recorrer archivos en el escritorio y en las carpetas Documents y Downloads, recopilar configuraciones de VPN, intentar extraer credenciales de Windows y las «riquezas» del navegador: cookies, inicios de sesión guardados, configuraciones de perfil. Se menciona por separado la recopilación de accesos desde muchas aplicaciones y servicios populares: entre los ejemplos aparecen Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Skype, LiveChat, Microsoft Teams, Zoom, WinSCP, PuTTY, Steam, Telegram y otros. También se incluía la creación de una captura de pantalla, y los datos recopilados, según los analistas, se empaquetaban en un archivo llamado array.bin.

Un detalle curioso que señalan los investigadores: antes de los pasos finales, el malware comprobaba el idioma del sistema y dejaba de funcionar si detectaba regiones «no deseadas». En la lista, según se afirma, estaban los países de la antigua URSS e Irán; este tipo de filtro lo usan a menudo los delincuentes para reducir el riesgo de conflictos «en su territorio» y evitar la atención de las autoridades locales.

Para afianzarse en el sistema, según QiAnXin, la cadena instalaba una extensión de navegador con un nombre aparentemente inocuo: Google Drive Caching. Esta, según se describe, debía proporcionar acceso prolongado y continuar con el robo: la extensión puede recopilar huellas ampliadas del dispositivo (CPU, GPU, cantidad de memoria, resolución, zona horaria), extraer cookies, historial, lista de extensiones y marcadores, así como interceptar la entrada del teclado. El informe destaca por separado funciones que parecen un «cuchillo suizo» para los estafadores: sustitución de direcciones de salida de criptomonedas (se afirma soporte para más de 30 tipos), robo de datos de Facebook Ads y un conjunto de comandos para control remoto —desde tomar capturas de pantalla y leer archivos locales hasta abrir enlaces y ejecutar JavaScript arbitrario en la página.

Como dirección inicial de control para la extensión se menciona el dominio cachingdrive.com, y para el caso de bloqueos, según los investigadores, existe un mecanismo de generación de dominios de reserva (DGA) que cambia semanalmente. La idea es clara: incluso si un dominio se bloquea rápidamente, la infraestructura podrá sobrevivir a los bloqueos y trasladarse con rapidez a nuevos puntos de control.

La conclusión práctica es desagradablemente universal: incluso una utilidad habitual «para trabajar con texto» puede convertirse en la puerta de entrada si se ha sustituido el distribuidor. Si instaló EmEditor entre el 19 y el 22 de diciembre de 2025 precisamente mediante el botón Download Now en el sitio oficial, conviene tomar esto, como mínimo, en serio: volver a verificar la firma y el hash del instalador, ejecutar una comprobación completa del sistema y examinar con especial atención los datos del navegador y los mensajeros corporativos —son precisamente esos los que estas campañas intentan robar en primer lugar.