Los investigadores han revelado recientemente una serie de campañas de malware en múltiples etapas que utilizan procesos legítimos del sistema para pasar desapercibidas. Este hallazgo, publicado por Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), destaca la creciente sofisticación de las ciberamenazas en el panorama actual.
En su Índice Global de Amenazas correspondiente a abril de 2025, Check Point Research identificó a FakeUpdates como el malware más prevalente, afectando al 6% de las empresas a nivel mundial. Le siguen de cerca Remcos y AgentTesla, dos herramientas que han evolucionado desde su uso inicial como malware comercial para integrarse en cadenas de ataque más complejas.
Uno de los descubrimientos más alarmantes de este mes es una campaña de malware en múltiples etapas que infecta sistemas con AgentTesla, Remcos y Xloader, una evolución de FormBook. El ataque comienza con correos electrónicos de phishing que simulan confirmaciones de pedidos, induciendo a las víctimas a abrir un archivo malicioso en formato 7-Zip. Este archivo contiene un script JScript codificado (.JSE) que, a su vez, lanza un script PowerShell codificado en Base64. Este último ejecuta un archivo ejecutable de segunda etapa basado en .NET o AutoIt, que finalmente inyecta el malware en procesos legítimos de Windows como RegAsm.exe o RegSvcs.exe. Esta técnica aumenta significativamente la capacidad del malware para evadir la detección.
Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software, explicó: «Esta última campaña ejemplifica la creciente complejidad de las ciberamenazas. Los atacantes están superponiendo scripts codificados, procesos legítimos y cadenas de ejecución oscuras para mantenerse indetectables. Lo que antes considerábamos malware de bajo nivel ahora se convierte en armas en operaciones avanzadas».
En España, FakeUpdates (también conocido como SocGholish) ha sido el malware más impactante, afectando al 11% de las empresas. Le siguen Androxgh0st, un botnet que explota vulnerabilidades en plataformas como PHPUnit y Laravel, y Remcos, un RAT (Remote Access Trojan) que se distribuye a través de documentos de Microsoft Office maliciosos.
En el ámbito móvil, Anubis ha liderado la lista de malware más extendido, seguido de AhMyth y Hydra. Anubis, un troyano bancario, ha evolucionado para incluir funciones avanzadas como la elusión de la autenticación multifactor (MFA) y el keylogging.
En cuanto a los grupos de ransomware, Akira ha sido el más activo en abril, responsable del 11% de los ataques publicados. SatanLock y Qilin, dos operaciones emergentes, han seguido de cerca, cada una con un 10% de participación.
Los sectores más atacados en España durante abril han sido Gobierno/Militar, Bienes y servicios de consumo, y Telecomunicaciones. Estos datos reflejan un enfoque continuo en sectores con defensas más débiles y un aumento en el uso de técnicas sigilosas y complejas por parte de los ciberdelincuentes.
En resumen, el panorama de ciberseguridad en abril de 2025 ha demostrado una evolución preocupante en las tácticas de los atacantes, con un mayor uso de malware en múltiples etapas y la integración de herramientas comerciales en operaciones avanzadas. Las empresas deben adoptar estrategias de seguridad proactivas y en capas para mitigar estos riesgos en constante evolución.
