Underc0de - La Casa de los Informáticos

Los actores de amenazas están innovando a un ritmo alarmante, y una de las tácticas más preocupantes de los últimos meses es el uso de notificaciones push del navegador como canal de comando y control (C2). Esta técnica ha sido potenciada por una nueva plataforma conocida como Matrix Push C2, que está transformando un mecanismo legítimo del navegador en una infraestructura de phishing persistente, multiplataforma y difícil de detectar.

A diferencia del malware tradicional, este sistema no requiere instalar archivos en el dispositivo. Todo ocurre dentro del navegador, aprovechando un comportamiento habitual: aceptar notificaciones de un sitio web.

¿Qué es Matrix Push C2 y por qué representa una amenaza crítica?

Matrix Push C2 es un framework de comando y control basado 100% en navegador que utiliza:

• Notificaciones push web
• Ingeniería social
• Redirecciones maliciosas
• Plantillas de suplantación de marcas

Su objetivo es establecer un canal persistente entre el atacante y la víctima, sin necesidad de comprometer directamente el sistema operativo o instalar malware tradicional.

CitarEl ataque inicia cuando el usuario entra en un sitio web comprometido o malicioso que muestra un mensaje engañoso, como:

"Haga clic en Permitir para verificar que no es un robot"
"Presione Permitir para continuar la descarga"

Una vez que el usuario acepta las notificaciones, el atacante obtiene un canal permanente para enviarle alertas falsas directamente al escritorio o dispositivo móvil.

De notificaciones a phishing directo

Una vez autorizado, Matrix Push C2 puede enviar notificaciones que aparentan ser de:

• El sistema operativo
• El navegador (Chrome, Edge, Firefox, etc.)
• Servicios populares como PayPal, Cloudflare o Netflix

Estas notificaciones incluyen botones como "Verificar", "Actualizar" o "Asegurar cuenta", que redirigen a páginas falsas diseñadas para:

• Robar credenciales
• Capturar claves de acceso
• Drenar monederos de criptomonedas
• Distribuir malware adicional

Lo más peligroso es que la víctima suele confiar en estas alertas, ya que se presentan dentro de un entorno familiar: su propio navegador.

Una amenaza multiplataforma y persistente

Una de las mayores ventajas de Matrix Push C2 para los atacantes es su capacidad multiplataforma:

• Funciona en Windows, macOS, Linux, Android e incluso iOS.
• No depende del sistema operativo, sino del navegador.
• Elimina muchas barreras tradicionales de seguridad.

Además, este canal actúa como un mecanismo de comunicación persistente, lo que significa que el atacante puede seguir enviando campañas de phishing durante semanas o meses, incluso si la víctima abandona el sitio original.

Matrix Push C2 como Malware-as-a-Service

Matrix Push C2 se comercializa bajo el modelo MaaS (Malware-as-a-Service), facilitando su acceso a criminales con poca experiencia técnica.

Su modelo de precios aproximado incluye:

• 150 USD por 1 mes
• 405 USD por 3 meses
• 765 USD por 6 meses
• 1,500 USD por 1 año completo

Los pagos se realizan en criptomonedas y se negocian principalmente a través de canales clandestinos en Telegram y foros de ciberdelito.

Este bajo costo y facilidad de uso está permitiendo una expansión acelerada de campañas maliciosas a nivel global.

Panel de control: espionaje en tiempo real

Matrix Push C2 cuenta con un panel web donde los atacantes pueden:

• Monitorear víctimas en tiempo real
• Ver qué notificaciones fueron abiertas
• Utilizar acortadores de URL integrados
• Detectar extensiones del navegador, incluyendo wallets de criptomonedas
• Configurar plantillas con identidad visual de marcas reconocidas

Marcas como PayPal, MetaMask, TikTok, Netflix y Cloudflare ya están siendo suplantadas dentro de estas campañas.

Velociraptor: cuando una herramienta defensiva se convierte en arma ofensiva

De forma paralela, ha surgido otra tendencia peligrosa: el abuso de herramientas legítimas de ciberseguridad. Entre ellas destaca Velociraptor, una potente herramienta de DFIR (Digital Forensics and Incident Response) utilizada por equipos de respuesta ante incidentes.

Según Huntress, se ha detectado un aumento significativo en ataques donde los criminales usan Velociraptor con fines maliciosos.

Ataque mediante vulnerabilidad crítica en WSUS

En noviembre de 2025, se documentó un ataque en el que actores maliciosos explotaron una vulnerabilidad crítica en Windows Server Update Services (WSUS):

• CVE-2025-59287
• Puntuación CVSS: 9.8

Tras conseguir el acceso inicial, los atacantes desplegaron Velociraptor para:

• Realizar reconocimiento interno
• Identificar usuarios privilegiados
• Mapear servicios activos
• Analizar configuraciones del sistema

Aunque el ataque fue contenido, el caso evidencia cómo herramientas legítimas pueden ser reutilizadas para objetivos ofensivos.

El peligro del uso de herramientas duales

Velociraptor no es un caso aislado. Cada vez más actores maliciosos utilizan herramientas de:

• Forense digital
• Monitorización
• Administración remota

¿Por qué?

Porque este tipo de herramientas no generan alertas inmediatas, ya que suelen estar permitidas en entornos corporativos.

Esto complica enormemente la detección de intrusiones basadas en "living-off-the-land" y herramientas duales.

Relación entre Matrix Push C2 y el abuso de herramientas legítimas

Ambas estrategias tienen algo en común:
explotan la confianza en herramientas y funciones legítimas.

• Matrix Push C2 convierte una función normal del navegador en un canal de ataque.
• Velociraptor transforma una herramienta de defensa en un instrumento ofensivo.

Este patrón confirma una tendencia clara: los atacantes están dejando de depender exclusivamente de malware tradicional y están pasando a explotar factores humanos, configuraciones permisivas y herramientas preexistentes.

Cómo protegerse frente a Matrix Push C2 y Velociraptor

Para mitigar este tipo de amenazas, se recomienda:

• Bloquear las notificaciones push en sitios desconocidos.
• Implementar políticas de navegación restrictivas en entornos corporativos.
• Deshabilitar notificaciones web por defecto.
• Monitorear el uso de herramientas de seguridad como Velociraptor.
• Aplicar parches críticos de Microsoft, especialmente en WSUS.
• Implementar soluciones EDR con capacidades de detección de abuso de herramientas legítimas.
• Capacitar a los usuarios en identificación de ingeniería social.

Fuente: https://thehackernews.com/