«Phantom» ya ronda tu bandeja de entrada: cómo un solo correo sobre compras puede comprometer la seguridad de toda una empresa
El robo de secretos ajenos se ha industrializado por completo.
Mientras las empresas debaten la protección contra ataques complejos, los actores maliciosos siguen actuando de forma más simple — mediante el correo electrónico. Basta con un mensaje convincente para que un empleado abra un archivo adjunto y ejecute un programa malicioso. A finales de 2025 este mismo escenario volvió a funcionar — esta vez con la herramienta Phantom Stealer, que se vende activamente en el mercado clandestino como un servicio listo para robar datos.
La empresa Group-IB reveló detalles de una amplia campaña de phishing dirigida a organizaciones europeas de los sectores de logística, industria y tecnología. Desde noviembre de 2025 hasta enero de 2026, los atacantes llevaron a cabo cinco oleadas de envíos. Los correos se enviaban el mismo día a varias empresas no relacionadas entre sí, lo cual es característico del modelo de servicio para la distribución de software malicioso.
Phantom Stealer es un infostealer basado en .NET y forma parte del paquete «Phantom Project». El conjunto también incluye herramientas de cifrado y acceso remoto. Tras su ejecución, el programa recopila contraseñas, cookies, datos de autocompletado y tarjetas bancarias desde los navegadores, intercepta sesiones en Discord, Telegram y Outlook, y también extrae datos de Wi-Fi. La información robada se envía a través de canales de comunicación populares — desde mensajeros hasta FTP.
El ataque comenzaba con correos disfrazados de correspondencia comercial. Los atacantes se hacían pasar por una empresa comercial y usaban asuntos relacionados con compras — solicitudes de precio, números de pedido y propuestas comerciales. El texto del mensaje se mantenía breve, apenas unas frases, pero la firma parecía lo más verosímil posible — con dirección, teléfonos y datos de la empresa. Al mismo tiempo, en cada correo se repetían los mismos errores, lo que indica una plantilla única.
En el adjunto había un archivo comprimido — el formato variaba de una oleada a otra. En su interior se ocultaba un cargador en JavaScript o un archivo ejecutable. Al abrirlo comenzaba la cadena de descarga e instalación del infostealer.
Las señales técnicas permitieron detectar rápidamente la campaña. Los correos fallaban la comprobación SPF, carecían de firma DKIM y la estructura de los mensajes se repetía con cambios mínimos. Esos detalles delatan el envío automatizado y la suplantación del remitente.
Los datos recopilados por los infostealers siguen siendo uno de los principales recursos para ataques posteriores. Las cuentas obtenidas se utilizan para acceder a redes corporativas, lanzar ransomware y llevar a cabo fraudes mediante correspondencia comercial. El caso de Phantom Stealer demuestra que incluso los envíos masivos y relativamente sencillos siguen dando resultado si no se bloquea el punto de entrada — el correo electrónico.