No era el Microsoft Teams correcto: un simple error al elegir un enlace puede mantener en vela a todo el equipo de ciberseguridad
Tras el familiar botón de descarga se esconde una cadena diseñada para aprovechar la distracción y la prisa.
Los instaladores falsos de Microsoft Teams se han convertido nuevamente en un cebo conveniente para los ciberdelincuentes. El escenario del ataque es el siguiente: el usuario busca una aplicación laboral, accede a un sitio que aparece entre los primeros resultados de búsqueda y obtiene un archivo que parece convincente para Windows y las soluciones de seguridad, pero que inicia una infección multinivel.
BlueVoyant describió la campaña Lorem Ipsum, en la que los atacantes promocionan páginas de descarga falsas de Microsoft Teams mediante envenenamiento SEO en Bing y Google. En esos sitios suele aparecer un botón de descarga destacado que conduce a un archivo MSI infectado. Según la empresa, la campaña afectó al menos a seis países en Norteamérica, Europa y Asia entre marzo y finales de abril de 2026. Uno de los casos registrados estuvo relacionado con una organización del sector sanitario en EE. UU.
Los instaladores maliciosos están firmados con certificados digitales válidos Microsoft ID Verified, que se registraron por un máximo de tres días. Este enfoque ayuda a que los archivos parezcan legítimos y, al mismo tiempo, reduce la ventana en la que se puede revocar el certificado. Los dominios usados en la campaña se registraron a través de NameCheap con privacidad Withheld-for-Privacy y empezaron a utilizarse pocas horas o días después de su creación.
BlueVoyant asocia la evolución del grupo con una muestra temprana encontrada en febrero de 2026. Entonces el archivo malicioso se hacía pasar por la utilidad PE Detective y estaba poco protegido. Después, los operadores complicaron rápidamente las herramientas: añadieron descifrado mediante un cifrado por sustitución, fragmentos de código cifrados con XOR, DLL Sideloading y un nuevo esquema de intercambio con servidores de mando.
El backdoor Lorem Ipsum recopila información del equipo infectado, codifica parte de los datos mediante Base64, cifra la información con una clave aleatoria y la envía a un servidor C2 fijado de forma rígida. La respuesta llega en forma de un archivo similar a una imagen JFIF. Este ciclo continúa mientras el servidor permanezca disponible. No se observaron cargas útiles adicionales durante el análisis, pero el código permite ejecutar nuevos componentes si el operador considera que la víctima es valiosa.
Para la coordinación encubierta, el grupo utilizó perfiles en letsdiskuss.com, incluidos joeblack1673, stevenblake8483, dhuahsd12d2752 y stevenseagal4596. Según BlueVoyant, los distintos perfiles podrían corresponder a olas de la campaña o a grupos de víctimas, y cada perfil apuntaba a su propio conjunto de dominios C2. En marzo los operadores todavía usaban plainraw.com para entregar comandos PowerShell comprimidos, pero a mediados de abril pasaron a dominios C2 dedicados con rutas del tipo /api/init/{UUID}, lo que mejoró el seguimiento de sistemas infectados.
La empresa considera que el grupo no es un operador habitual de malware masivo, pero tampoco un actor de nivel APT. La rapidez del desarrollo, el gasto en dominios, certificados y alojamiento, así como la competencia con resultados legítimos de búsqueda, indican un equipo criminal bien financiado. BlueVoyant admite que los operadores podrían actuar como corredores de acceso inicial, aunque los objetivos finales aún no están confirmados.