(https://i.postimg.cc/t4pHKgxc/Black_Cat.png) (https://postimages.org/)
Una banda de ciberdelincuentes conocida como Black Cat ha sido vinculada a una campaña de envenenamiento de optimización para motores de búsqueda (SEO) que utiliza sitios web fraudulentos que anuncian software popular para engañar a los usuarios y lograr que descarguen un programa malicioso capaz de robar datos confidenciales.
Según un informe publicado por el Centro Nacional de Coordinación y Respuesta ante Emergencias de Redes Informáticas de China (CNCERT/CC) y Beijing Weibu Online (también conocido como ThreatBook), esta actividad está diseñada para posicionar estratégicamente sitios web falsos en los primeros resultados de búsqueda de motores como Microsoft Bing, dirigiéndose específicamente a usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.
Tras visitar estas páginas de phishing de alto rango, los usuarios son atraídos por páginas de descarga cuidadosamente diseñadas, que intentan que descarguen paquetes de instalación de software que contienen programas maliciosos, según informaron CNCERT/CC y ThreatBook. Una vez instalado, el programa implanta un troyano de puerta trasera sin el conocimiento del usuario, lo que permite a los atacantes robar datos confidenciales del ordenador.
(https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgCg4MybOkPQbyW9eWHrXcguA0Iz0YmR2oizp3On23EZFvOJsKu1uEtdvPVI1Rpfusgv59aYsuzALJXN8aSYz6sEKEd4pxbXCjF3xZ3O7R3Q0MyobwlDmKU6WE76qv9zGatzLIrVoWnRDKPVzXTkFJGdgfwSYxaGw2ZJy_H3mv5qmAvIRY_KsdRkPZ48Llo/s2600/notepad.png)
Se estima que Black Cat está activo desde al menos 2022, orquestando una serie de ataques diseñados para el robo de datos y el control remoto mediante malware distribuido a través de campañas de envenenamiento de SEO. En 2023, se cree que el grupo robó al menos 160.000 dólares en criptomonedas haciéndose pasar por AICoin, una popular plataforma de comercio de divisas virtuales.
En la última serie de ataques, los usuarios que buscan Notepad++ reciben enlaces a un sitio web de phishing convincente que se hace pasar por un sitio asociado al programa ("cn-notepadplusplus[.]com"). Otros dominios registrados por Black Cat incluyen "cn-obsidian[.]com", "cn-winscp[.]com" y "notepadplusplus[.]cn".
La inclusión de "cn" en los nombres de dominio indica que los atacantes se dirigen específicamente a usuarios chinos que podrían estar buscando estas herramientas a través de motores de búsqueda.
Si los usuarios desprevenidos hacen clic en el botón de "descarga" en el sitio web falso, son redirigidos a otra URL que imita a GitHub ("github.zh-cns[.]top"), desde donde se puede descargar un archivo ZIP. Dentro del archivo ZIP se encuentra un instalador que crea un acceso directo en el escritorio del usuario. Este acceso directo sirve como punto de entrada para la carga lateral de una DLL maliciosa que, a su vez, ejecuta la puerta trasera.
El malware establece contacto con un servidor remoto preconfigurado ("sbido[.]com:2869"), lo que le permite robar datos del navegador web, registrar las pulsaciones del teclado, extraer el contenido del portapapeles y otra información valiosa del equipo infectado.
CNCERT/CC y ThreatBook informaron que el grupo de ciberdelincuentes Black Cat ha comprometido aproximadamente 277.800 equipos en China entre el 7 y el 20 de mayo de 2025, alcanzando un pico de 62.167 máquinas infectadas en un solo día.
Para mitigar el riesgo, se recomienda a los usuarios que eviten hacer clic en enlaces de fuentes desconocidas y que descarguen software únicamente de fuentes confiables.
Fuente:
The Hacker News
https://thehackernews.com/2026/01/black-cat-behind-seo-poisoning-malware.html
-----
-----
Nota:
Aunque la noticia está relacionada con China, es el método el objetivo de interés, que es universal. Dicho de otro modo: Así es cómo funciona y se hace... y las barbas en remojo...