Abogados estadounidenses comienzan a distribuir malware: todo por los hackers y su predilección por WordPress
Un solo clic basta para perder por completo el acceso al sistema.
Los especialistas del grupo Insikt Group publicaron el primer informe detallado sobre el grupo GrayCharlie, que desde mediados de 2023 infecta sitios de WordPress y distribuye malware mediante falsas actualizaciones de navegador y la técnica ClickFix. Según los autores del estudio, los atacantes vulneraron recientemente varios sitios de bufetes de abogados en Estados Unidos, lo que podría indicar un ataque a la cadena de suministro.
GrayCharlie, vinculada a la actividad SmartApeSG, inserta en los recursos comprometidos enlaces a JavaScript externo. El script redirige a los visitantes a páginas con actualizaciones falsas de Chrome, Edge o Firefox o muestra un CAPTCHA falso. Tras ejecutar el archivo descargado en el dispositivo de la víctima se instala NetSupport RAT, y en casos aislados también Stealc y SectopRAT. El objetivo principal de los ataques es el robo de datos y la obtención de beneficios económicos. No se descarta la reventa de accesos a otros grupos delictivos.
Los analistas identificaron una infraestructura extensa relacionada con GrayCharlie. Los servidores de comando de NetSupport RAT se alojaban principalmente en los proveedores de hosting MivoCloud y HZ Hosting Ltd. Parte de los servidores se agruparon en clústeres por características comunes de certificados TLS, números de serie y claves de licencia. En varios casos los certificados se crearon casi simultáneamente, lo que indica administración centralizada. El estudio también mostró el uso de servicios proxy y SSH para gestionar la infraestructura.
Se prestó especial atención en el informe a un grupo de sitios de bufetes de abogados estadounidenses. Al menos quince recursos cargaban un script malicioso desde el dominio persistancejs.store. Muchos de esos sitios están vinculados con la empresa SMB Team, que ofrece servicios de TI y marketing a despachos legales.
La coincidencia temporal entre la aparición del dominio malicioso y la filtración de credenciales relacionadas con la infraestructura de SMB Team llevó a los autores del informe a plantear la posible compromisión del contratista — un posible ataque a la cadena de suministro. Una versión alternativa es la explotación de una versión vulnerable de WordPress o de complementos que usaban los clientes de la empresa.
En 2025 GrayCharlie empezó a aplicar con más frecuencia la técnica ClickFix. Al visitante de un sitio infectado se le pide pasar una verificación CAPTCHA, tras lo cual se copia al portapapeles un comando. El usuario lo pega en la ventana «Ejecutar», lo que inicia la descarga de un archivo comprimido con NetSupport RAT. En otro escenario se ofrece instalar una supuesta actualización del navegador. En ambos casos el malware se fija en el sistema mediante una clave de inicio automático en el registro de Windows y se conecta al servidor de control.
Al probar una de las compilaciones maliciosas, los especialistas registraron acciones del operador pocas horas después de la infección. El atacante archivó archivos y ejecutó comandos para obtener información sobre grupos de dominios y cuentas. Esto confirma el interés en labores de espionaje dentro de la red corporativa.