Campaña de spear-phishing usa NetBird para atacar a ejecutivos financieros

Investigadores de ciberseguridad han descubierto una sofisticada campaña de spear-phishing dirigida a directores financieros (CFO) y altos ejecutivos del sector bancario, energético, asegurador e inversionista. Esta operación maliciosa utiliza NetBird, una herramienta legítima de acceso remoto basada en WireGuard, como vector de ataque para establecer persistencia en los sistemas comprometidos.

La actividad fue detectada por Trellix a mediados de mayo de 2025, aunque aún no ha sido atribuida a ningún grupo de amenazas conocido. El investigador Srini Seethapathy describió el ataque como una operación en múltiples fases que explota la confianza en herramientas empresariales legítimas para evadir medidas de seguridad.

Fase inicial: phishing dirigido con suplantación de reclutadores

El ataque comienza con un correo electrónico de phishing que simula provenir de un reclutador de Rothschild & Co., ofreciendo una "oportunidad estratégica". El mensaje incluye un supuesto archivo PDF, que en realidad redirige a una URL oculta dentro de Firebase. La URL de redireccionamiento está encriptada y solo puede ser accedida tras completar un CAPTCHA personalizado, una técnica utilizada para eludir mecanismos automatizados de detección como Cloudflare Turnstile o Google reCAPTCHA.

Una vez completado el CAPTCHA, se descarga un archivo ZIP malicioso que contiene un VBScript diseñado para recuperar e iniciar un segundo script desde un servidor externo. Este script descarga un archivo adicional, lo renombra a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y extrae dos instaladores MSI: uno para NetBird y otro para OpenSSH.

Persistencia y evasión: cómo se oculta el ataque

El malware instala ambos programas en el sistema, crea una cuenta de usuario local oculta, habilita el acceso remoto al escritorio y configura tareas programadas para asegurar la persistencia de NetBird tras reinicios. También elimina accesos directos visibles al software instalado, dificultando la detección del compromiso.

Trellix identificó otra URL maliciosa activa desde hace casi un año, que distribuye el mismo payload, lo que sugiere que esta campaña podría llevar operando en secreto desde hace meses.

Tendencias: abuso de herramientas legítimas y ataques de ingeniería social

Este ataque se alinea con una tendencia creciente en la que los ciberdelincuentes utilizan aplicaciones legítimas de acceso remoto como ConnectWise, ScreenConnect, Atera, Splashtop, FleetDeck y LogMeIn Resolve. Estas herramientas, diseñadas para administración remota, son aprovechadas por actores maliciosos para establecer persistencia sin levantar sospechas.

CitarSegún Seethapathy:

"Este ataque no es una estafa de phishing común. Está cuidadosamente diseñado, con múltiples capas, dirigido a personas clave y adaptado para eludir tanto tecnologías de defensa como la conciencia del usuario."

Más campañas de phishing activas en 2025

El informe coincide con la aparición de múltiples campañas de phishing en curso, entre ellas:

• Uso de dominios de confianza de ISPs japoneses para eludir filtros SPF y DKIM.
• Abuso de Google Apps Script para alojar páginas de phishing que roban credenciales de Microsoft.
• Imitaciones de facturas de Apple Pay para robar información bancaria y cuentas de correo.
• Páginas de phishing en Notion para capturar credenciales mediante enlaces falsos.
• Explotación de la vulnerabilidad CVE-2017-11882 en Microsoft Office para distribuir el malware Formbook oculto en archivos PNG.

Auge del phishing como servicio (PhaaS) y automatización de ataques

En paralelo, Trustwave ha expuesto la conexión entre los kits de phishing Tycoon y DadSec (alias Storm-1575 según Microsoft), que comparten infraestructura centralizada. DadSec está vinculado a una nueva campaña que utiliza la plataforma Tycoon 2FA, diseñada para eludir mecanismos de autenticación multifactor (MFA) mediante ataques tipo adversario-en-el-medio (AiTM).

También se ha detectado el kit de phishing Haozi, de origen chino, que ha generado más de 280.000 dólares en actividades ilícitas en cinco meses. Este servicio PhaaS de suscripción anual (2.000 dólares) proporciona una interfaz web automatizada y soporte vía Telegram para que incluso actores sin conocimientos técnicos puedan lanzar campañas de phishing.

Nuevas tácticas: phishing de dispositivos, OAuth y unión de dominio

Microsoft ha advertido sobre el uso de nuevas técnicas por parte de actores de amenazas vinculados a Rusia y otros grupos avanzados, incluyendo:

• Phishing de códigos de dispositivos.
• Phishing de consentimiento OAuth, con enlaces maliciosos disfrazados de aplicaciones legítimas.
• Phishing de unión de dispositivos, que engaña al usuario para registrar dispositivos en dominios controlados por el atacante.

Estas técnicas aprovechan errores humanos más que fallos técnicos, consolidando el phishing como la principal amenaza cibernética en 2025.

Concienciación, defensa activa y visibilidad

Las campañas de spear-phishing como esta representan un riesgo crítico para organizaciones en todo el mundo. La combinación de herramientas legítimas, evasión de detección y técnicas de ingeniería social avanzadas demuestra la necesidad de adoptar enfoques de seguridad proactivos.

Según Igor Sakhnov, CISO adjunto de Microsoft:

"Aunque las tecnologías de detección han mejorado, los atacantes siguen explotando el comportamiento humano. La formación continua y el conocimiento de las tácticas más comunes son esenciales para prevenir estos ataques."

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta