Microsoft ha revelado detalles de una campaña de robo de credenciales que emplea clientes falsos de redes privadas virtuales (VPN) distribuidos mediante técnicas de envenenamiento de optimización de motores de búsqueda (SEO).
“La campaña redirige a los usuarios que buscan software empresarial seguro a archivos ZIP maliciosos en sitios web controlados por atacantes para implementar troyanos firmados digitalmente que se hacen sobrevenir por clientes VPN confiables mientras recolectan credenciales de VPN”, dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Experts.
El fabricante de Windows, que observó la actividad a mediados de enero de 2026, la ha atribuido a Tormenta-2561un camarilla de actividad de amenazas conocido por propagar malware mediante envenenamiento de SEO y hacerse sobrevenir por proveedores de software populares desde mayo de 2025.
Las campañas del actor de amenazas fueron documentadas por primera vez por Cyjax, destacando el uso de envenenamiento de SEO para redirigir a los usuarios que buscan programas de software de compañías como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access) en Bing a sitios falsos y engañarlos para que descarguen instaladores MSI que implementan el cargador Bumblebee.
Zscaler reveló una iteración posterior del ataque en octubre de 2025. Se observó que la campaña aprovechaba que los usuarios buscaban software seguro en Bing para propagar un cliente VPN troyanizado Ivanti Pulse Secure a través de sitios web falsos (“ivanti-vpn(.)org”) que finalmente robaba las credenciales de VPN de la máquina de la víctima.
Microsoft dijo que la actividad destaca cómo los actores de amenazas explotan la confianza en las clasificaciones de los motores de búsqueda y la marca del software como una táctica de ingeniería social para robar datos de los usuarios que buscan software VPN empresarial. Lo que agrava las cosas es el exageración de plataformas confiables como GitHub para meter los archivos del instalador.
Específicamente, el repositorio de GitHub aloja un archivo ZIP que contiene un archivo de instalación MSI que se hace sobrevenir por software VPN seguro, pero descarga archivos DLL maliciosos durante la instalación. El objetivo final, como ayer, es compilar y filtrar credenciales de VPN utilizando una modificación de un ratero de información llamado Hyrax.
Se muestra al beneficiario un cuadro de diálogo de inicio de sesión de VPN traidor, pero convincente, para capturar las credenciales. Una vez que la víctima ingresa la información, se le muestra un mensaje de error y se le indica que esta vez descargue el cliente VPN seguro. En algunos casos, son redirigidos al sitio web seguro de VPN.
El malware utiliza la secreto de registro RunOnce de Windows para configurar la persistencia, de modo que se ejecute automáticamente cada vez que se reinicie el sistema.
“Esta campaña exhibe características consistentes con las operaciones de cibercrimen con motivación financiera empleadas por Storm-2561”, dijo Microsoft. “Los componentes maliciosos están firmados digitalmente por ‘Taiyuan Lihua Near Information Technology Co., Ltd.'”
Desde entonces, el coloso tecnológico eliminó los repositorios de GitHub controlados por el atacante y revocó el certificado seguro para contrapesar la operación.
Para contrarrestar tales amenazas, se recomienda a las organizaciones y a los usuarios que implementen la autenticación multifactor (MFA) en todas las cuentas, tengan cuidado al descargar software de sitios web y se aseguren de que sean auténticos.
