Se ha observado que los actores de amenazas utilizan n8n, una popular plataforma de automatización de flujo de trabajo de inteligencia sintético (IA), para suministrar campañas de phishing sofisticadas y entregar cargas bártulos maliciosas o dispositivos de huellas dactilares mediante el expedición de correos electrónicos automatizados.
“Al usar la infraestructura confiable, estos atacantes evitan los filtros de seguridad tradicionales, convirtiendo las herramientas de productividad en vehículos de entrega para un paso remoto persistente”, dijeron los investigadores de Cisco Talos, Sean Gallagher y Omid Mirzaei, en un examen publicado hoy.
N8n es una plataforma de automatización del flujo de trabajo que permite a los usuarios conectar varias aplicaciones web, API y servicios de modelos de IA para sincronizar datos, crear sistemas agentes y ejecutar tareas repetitivas basadas en reglas.
Los usuarios pueden registrarse para obtener una cuenta de desarrollador sin costo adicional para usar un servicio administrado alojado en la nubarrón y ejecutar flujos de trabajo de automatización sin tener que configurar su propia infraestructura. Sin retención, al hacerlo, se crea un dominio personalizado único que sigue el formato:
La plataforma igualmente admite la capacidad de crear webhooks para admitir datos de aplicaciones y servicios cuando se activan ciertos eventos. Esto hace posible iniciar un flujo de trabajo a posteriori de admitir ciertos datos. Los datos, en este caso, se envían a través de una URL de webhook única.
Según Cisco Talos, son estos webhooks expuestos a URL, que utilizan el mismo subdominio de nubarrón *.app.n8n(.), de los que se ha abusado en ataques de phishing desde octubre de 2025.
“Un webhook, a menudo denominado ‘API inversa’, permite que una aplicación proporcione información en tiempo positivo a otra. Estas URL registran una aplicación como un ‘escucha’ para admitir datos, que pueden incluir contenido HTML extraído mediante programación”, explicó Talos.
“Cuando la URL recibe una solicitud, se activan los siguientes pasos del flujo de trabajo, devolviendo resultados como un flujo de datos HTTP a la aplicación solicitante. Si se accede a la URL por correo electrónico, el navegador del destinatario actúa como la aplicación receptora y procesa la salida como una página web”.
Lo que hace que esto sea significativo es que abre una nueva puerta para que los actores de amenazas propaguen malware mientras mantienen una apariencia de legalidad al dar la impresión de que se originan en un dominio confiable.
Los actores de amenazas no perdieron el tiempo aprovechando el comportamiento para configurar URL de webhook n8n para la entrega de malware y la toma de huellas digitales del dispositivo. Se dice que el masa de mensajes de correo electrónico que contienen estas URL en marzo de 2026 fue aproximadamente un 686% maduro que en enero de 2025.
En una campaña observada por Talos, se descubrió que los actores de amenazas incrustaban un enlace de webhook alojado en n8n en correos electrónicos que afirmaban ser un documento compartido. Al hacer clic en el enlace, el beneficiario accede a una página web que muestra un CAPTCHA que, al finalizar, activa la descarga de una carga útil maliciosa desde un host extranjero.
“Oportuno a que todo el proceso está encapsulado internamente del JavaScript del documento HTML, al navegador le parece que la descarga proviene del dominio n8n”, señalaron los investigadores.
El objetivo final del ataque es entregar un ejecutable o un instalador MSI que sirva como conducto para versiones modificadas de herramientas legítimas de dependencia y monitoreo remoto (RMM) como Datto e ITarian Endpoint Management, y utilizarlas para establecer persistencia mediante el establecimiento de una conexión a un servidor de comando y control (C2).
Un segundo caso frecuente se refiere al desmán de n8n para la toma de huellas dactilares. Específicamente, esto implica fijar en los correos electrónicos una imagen invisible o un píxel de seguimiento alojado en una URL de webhook n8n. Tan pronto como la misiva digital se abre a través de un cliente de correo electrónico, envía automáticamente una solicitud HTTP GET a la URL n8n inmediato con parámetros de seguimiento, como la dirección de correo electrónico de la víctima, lo que permite a los atacantes identificarla.
“Los mismos flujos de trabajo diseñados para economizar horas de trabajo manual a los desarrolladores ahora se están reutilizando para automatizar la entrega de malware y dispositivos de huellas digitales correcto a su flexibilidad, facilidad de integración y automatización perfecta”, dijo Talos. “A medida que continuamos aprovechando el poder de la automatización de código bajo, es responsabilidad de los equipos de seguridad certificar que estas plataformas y herramientas sigan siendo activos y no pasivos”.
