CoGUI: El kit de phishing que envío 580 Millones de correos fraudulentos

Un nuevo kit de phishing conocido como CoGUI ha irrumpido con fuerza en el panorama de la ciberseguridad, distribuyendo más de 580 millones de correos electrónicos fraudulentos entre enero y abril de 2025. Su objetivo principal: el robo de credenciales de acceso y datos de pago de usuarios desprevenidos en todo el mundo.

Campañas masivas de phishing con suplantación de identidad

Los ataques de CoGUI se caracterizan por suplantar a grandes marcas de confianza como Amazon, PayPal, Rakuten, Apple, así como agencias fiscales y bancos. La campaña más intensa se registró en enero de 2025, con 170 campañas activas que distribuyeron más de 172 millones de mensajes de phishing en un solo mes. En los meses siguientes, el volumen de correos maliciosos siguió siendo significativo.

Según investigadores de Proofpoint, esta es actualmente la campaña de phishing con mayor volumen registrada. Aunque el principal objetivo fue Japón, también se detectaron ataques en Estados Unidos, Canadá, Australia y Nueva Zelanda.

Origen y evolución del kit de phishing CoGUI

CoGUI ha estado en funcionamiento al menos desde octubre de 2024, pero su actividad fue registrada por Proofpoint a partir de diciembre del mismo año. En un principio, se identificaron similitudes con el kit de phishing Darcula, vinculado a operadores con sede en China. No obstante, un análisis más profundo reveló que CoGUI y Darcula no están directamente relacionados, aunque ambos son utilizados por actores de amenazas chinos.

Cómo funciona la cadena de ataque de CoGUI

La técnica de CoGUI comienza con un correo electrónico de phishing que aparenta ser enviado por una empresa legítima. Estos mensajes suelen incluir líneas de asunto urgentes que incitan al usuario a actuar de inmediato. El cuerpo del mensaje contiene un enlace que redirige a un sitio web de phishing, pero este solo se activa si el destinatario cumple con criterios específicos como:

• Dirección IP y ubicación geográfica
• Idioma del navegador
• Sistema operativo y resolución de pantalla
• Tipo de dispositivo (móvil o escritorio)

Si estos parámetros no se cumplen, el usuario es redirigido al sitio legítimo de la marca suplantada, lo que ayuda a ocultar la naturaleza fraudulenta del ataque. En cambio, si el objetivo cumple los criterios, se le lleva a una página de inicio de sesión falsa que replica el diseño original, lo que permite a los atacantes robar sus credenciales y datos personales.

Smishing y expansión del kit CoGUI

Además del phishing por correo electrónico, CoGUI también ha sido vinculado con campañas de smishing (phishing por SMS) en Estados Unidos. Estas campañas utilizaban señuelos relacionados con "pagos de peaje pendientes". Sin embargo, actualmente esa actividad ha migrado principalmente hacia el kit Darcula.

Los expertos de Proofpoint creen que CoGUI opera como un servicio disponible para múltiples cibercriminales, muchos de ellos con sede en China. Aunque su foco ha sido Japón, el kit podría ser fácilmente adoptado por otros grupos delictivos para lanzar campañas masivas en diferentes regiones.

Recomendaciones de ciberseguridad frente al phishing

Para reducir el riesgo de caer en estas amenazas, los expertos recomiendan:

• No actuar con prisa ante correos que solicitan acciones urgentes.
• Evitar hacer clic en enlaces incrustados en correos sospechosos.
• Acceder siempre directamente al sitio web oficial escribiendo la URL manualmente.
• Activar filtros antiphishing y soluciones de seguridad en correos electrónicos corporativos y personales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta