La exposición de enero no fue suficiente: el ataque a la cadena de suministro de EmEditor se ha convertido en un thriller de largo aliento
Los informes de los analistas quedaron obsoletos: el enemigo cambió de táctica.
Los especialistas de Stormshield continuaron el análisis de la cadena de compromiso relacionada con el ataque a la cadena de suministro del editor de texto EmEditor y identificaron detalles técnicos adicionales de la infraestructura de los atacantes. El motivo del análisis más profundo fue la publicación de enero de Trend Micro sobre un raro esquema Watering Hole dirigido a los usuarios de este producto.
El equipo examinó los indicadores publicados anteriormente y comenzó a rastrear los dominios y direcciones relacionados. A principios de febrero se detectaron cambios en los IP de varios nodos sospechosos. Se encontró un conjunto de nombres de dominio que se hacen pasar por los recursos oficiales de EmEditor. Todos ellos usan la zona .com, fueron registrados a finales de diciembre de 2025 mediante un mismo registrador y apuntan a servidores DNS idénticos. Los nombres siguen un patrón similar y comienzan con el fragmento «emed», lo que indica un intento de imitar visualmente la marca legítima.
El análisis de registros DNS pasivos reveló coincidencias adicionales en las direcciones. Parte de los dominios cambiaron de IP, otra parte se mantuvo igual. Esto indica una reconfiguración gradual de la infraestructura sin su desmantelamiento total. Una verificación adicional de las respuestas de red mostró una configuración atípica de los encabezados HTTP en uno de los nodos. Algunos campos en la respuesta del servidor se duplicaban, lo que se convirtió en el punto de partida para la búsqueda de recursos relacionados.
A través de un servicio de análisis de la infraestructura de Internet se consiguieron encontrar otros dominios con la misma huella digital de encabezados. Varios de ellos apuntaban al mismo IP y usaban plantillas de URL similares con rutas del tipo /gate/start/. A pesar de la respuesta de red mínima, las coincidencias permitieron relacionarlos con la misma actividad.
Una línea de investigación separada condujo a otro dominio, registrado en octubre de 2025. En esa dirección se alojaba un script PowerShell con ofuscación coincidente con la cadena de infección descrita anteriormente. La lógica interna y las sumas de comprobación del código apuntan a una fase temprana de la misma operación. Según la valoración de los analistas, la coincidencia es bastante sólida.
El análisis consolidado de dominios, direcciones IP y hashes de archivos muestra que la campaña no se detuvo tras la divulgación pública y continuó evolucionando. Por ello, la monitorización continua, la verificación recurrente de los indicadores y una protección multinivel siguen siendo condiciones críticamente importantes para la resiliencia de la infraestructura.