Por segunda vez — ya es una tradición: el antivirus eScan vuelve a ser sorprendido «colaborando» con hackers
Parece que los desarrolladores no reforzaron la seguridad tras la última visita.
La compañía MicroWorld Technologies, desarrolladora del antivirus eScan, informó sobre un acceso no autorizado a uno de los servidores de actualizaciones, a través del cual se distribuyó un archivo malicioso. El incidente ocurrió el 20 de enero de 2026 y afectó a una pequeña parte de los usuarios que recibían actualizaciones desde uno de los clústeres regionales.
Según la compañía, la vulnerabilidad no afectó al propio producto antivirus: los atacantes aprovecharon el acceso a la configuración del servidor, lo que les permitió insertar el archivo malicioso en la cadena de distribución de actualizaciones.
Durante las dos horas desde el inicio del ataque, solo recibieron el archivo infectado los sistemas que solicitaban actualizaciones específicamente al clúster comprometido. La compañía afirma que ya el mismo día del ataque se detectó actividad sospechosa, tras lo cual el servidor fue aislado, las credenciales fueron actualizadas y a los usuarios afectados se les proporcionaron instrucciones para la recuperación.
Además, eScan lanzó una actualización especial diseñada para mitigar las consecuencias del ataque: detecta y corrige automáticamente los cambios realizados, restablece el funcionamiento correcto del servicio de actualizaciones y solo requiere el reinicio habitual del sistema.
De forma separada, informaron los especialistas de Morphisec, que registraron actividad maliciosa el 20 de enero y posteriormente publicaron un informe técnico. Según sus datos, a través de la infraestructura legítima de actualizaciones de eScan se distribuía un componente modificado «Reload.exe», firmado con un certificado de eScan pero con una firma inválida. Ese archivo proporcionaba sigilo, ejecutaba comandos, modificaba el archivo del sistema HOSTS para bloquear actualizaciones y se conectaba a servidores de control para descargar componentes maliciosos adicionales.
Durante el ataque se emplearon varios servidores de comando y control. El último servidor descargó el archivo «CONSCTLX.exe», que actuó como puerta trasera y cargador. Los archivos maliciosos instalados creaban tareas en el programador de Windows para persistir en el sistema, camuflándose bajo nombres estándar.
Morphisec y eScan recomiendan bloquear todos los dominios y direcciones IP implicados en el ataque para prevenir posibles actividades recurrentes. En eScan subrayan que la mayoría de los clientes no resultaron afectados y fueron notificados a tiempo sobre lo ocurrido.
Este no es el primer caso en el que el mecanismo de actualización del antivirus eScan se usa para distribuir malware. En 2024 ya fue explotado por hackers norcoreanos para instalar puertas traseras en sistemas corporativos.