Cinco meses de silencio: hackers fueron vaciando el correo de un alto directivo de una gran bolsa sin ser detectados.
Algunos secretos salen de la empresa gota a gota, no de una sola vez.
Durante cinco meses los atacantes copiaron sin ser detectados la correspondencia de uno de los directivos de una importante bolsa de valores mundial. Según Symantec, el ataque se centró en un único objetivo: obtener acceso continuo al Outlook laboral de la víctima y recopilar información sobre las negociaciones, el calendario, los contactos y las decisiones internas de la organización.
No se logró determinar el método de infección inicial. La primera actividad maliciosa se detectó el 10 de octubre de 2025, cuando en el equipo ya estaban activos dos archivos disfrazados con privilegios del sistema. Los nombres y la ubicación de los archivos imitaban componentes de Adobe Acrobat Reader y OneDrive, lo que ayudaba a ocultar su presencia en el sistema.
Para mantener el acceso, los atacantes creaban tareas programadas de Windows haciéndose pasar por servicios de Adobe, Lenovo y OneDrive. Las tareas ejecutaban los componentes maliciosos cada pocos minutos o horas. Los delincuentes reescribían regularmente las configuraciones y cambiaban los archivos utilizados, dificultando la detección de la actividad.
El principal instrumento fue un extractor de correo basado en la biblioteca legítima Aspose. El programa leía el archivo local de Outlook con los mensajes, convertía los datos a un formato adecuado para su exportación y seleccionaba los correos de un periodo determinado. Al principio los atacantes extrajeron de una vez la correspondencia de varios meses, y luego cada dos a cuatro semanas copiaban solo los mensajes nuevos.
Los archivos se enviaban en pequeños lotes mediante Dropbox y OneDrive. Para conectarse a OneDrive, los atacantes utilizaron directamente direcciones IP de Microsoft, sin generar consultas DNS al dominio del servicio. Este enfoque ayudaba a enmascarar la transferencia de correo y de datos como tráfico normal en la nube y reducía la probabilidad de activar las herramientas de defensa.
No se logró relacionar el ataque con ningún grupo conocido. Los comandos y la prolongada recopilación de correspondencia apuntan a un objetivo de espionaje; sin embargo, no hubo datos suficientes para una atribución precisa. La última actividad en el equipo de la víctima se registró el 19 de marzo de 2026. Symantec publicó indicadores de compromiso y recomienda instalar las últimas actualizaciones de seguridad de su boletín.