Una partida de ciberdelincuentes conocida como Black Cat ha sido atribuida a una campaña de envenenamiento de optimización de motores de búsqueda (SEO) que emplea sitios fraudulentos que anuncian software popular para engañar a los usuarios para que descarguen una puerta trasera capaz de robar datos confidenciales.
Según un documentación publicado por el Equipo Técnico/Centro de Coordinación de Respuesta a Emergencias de la Red Informática Doméstico de China (CNCERT/CC) y Beijing Weibu Online (además conocido como ThreatBook), la actividad está diseñada para impulsar estratégicamente sitios falsos a la cima de los resultados de búsqueda en motores de búsqueda como Microsoft Bing, dirigido específicamente a usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.
“A posteriori de inspeccionar estas páginas de phishing de parada rango, los usuarios son atraídos por páginas de descarga cuidadosamente construidas, intentando descargar paquetes de instalación de software empaquetados con programas maliciosos”, dijeron CNCERT/CC y ThreatBook. “Una vez instalado, el software implanta un troyano de puerta trasera sin el conocimiento del usufructuario, lo que lleva al robo de datos confidenciales del ordenador hospedador por parte de los atacantes”.
Se estima que Black Cat está activo desde al menos 2022, orquestando una serie de ataques diseñados para el robo de datos y el control remoto mediante malware distribuido a través de campañas de envenenamiento de SEO. En 2023, se dice que el camarilla robó al menos 160.000 dólares en criptomonedas haciéndose tener lugar por AICoin, una popular plataforma de comercio de divisas imaginario.
En el postrero conjunto de ataques, los usuarios que buscan Notepad++ reciben enlaces a un sitio de phishing convincente que se hace tener lugar por asociado con el software de software (“cn-notepadplusplus(.)com”). Otros dominios registrados por Black Cat incluyen “cn-obsidian(.)com”, “cn-winscp(.)com” y “notepadplusplus(.)cn”.
La inclusión de “cn” en los nombres de dominio indica que los actores de amenazas están específicamente persiguiendo a usuarios chinos que pueden estar buscando dichas herramientas a través de motores de búsqueda.
Si los usuarios desprevenidos terminan haciendo clic en el capullo “descargar” en el sitio web desleal, son redirigidos a otra URL que imita a GitHub (“github.zh-cns(.)top”) desde donde se puede descargar un archivo ZIP. Interiormente del archivo ZIP hay un instalador que crea un camino directo en el escritorio del usufructuario. El camino directo actúa como punto de entrada para cargar una DLL maliciosa que, a su vez, abre la puerta trasera.
El malware establece contacto con un servidor remoto codificado (“sbido(.)com:2869”), lo que le permite robar datos del navegador web, registrar pulsaciones de teclas, extraer contenidos del portapapeles y otra información valiosa del host comprometido.
CNCERT/CC y ThreatBook señalaron que el sindicato de delitos cibernéticos Black Cat ha comprometido más o menos de 277.800 hosts en toda China entre el 7 y el 20 de 2025, con el longevo número diario de máquinas comprometidas interiormente del país alcanzando un mayor de 62.167.
Para mitigar el peligro, se recomienda a los usuarios que se abstengan de hacer clic en enlaces de fuentes desconocidas y se limiten a fuentes confiables para descargar software.
