A lo largo de 2025, IBM X-Force ha estado rastreando una campaña de phishing dirigida a instituciones financieras de todo el mundo. Esta operación aprovechaba archivos escalables de gráficos vectoriales (SVG) armados con JavaScript para iniciar infecciones de malware en varias etapas. Aunque el uso de SVGs en el phishing no es nuevo, los informes recientes indican un aumento notable de esta táctica, lo que indica un cambio más amplio en el panorama de las amenazas.

Esta campaña va más allá de la recolección tradicional de credenciales: emplea cargadores avanzados, troyanos modulares de acceso remoto (RATs) e infraestructuras de confianza como Amazon S3 y Telegram para mando y control (C2). La actividad muestra cómo los atacantes están evolucionando las técnicas de phishing en operaciones de acceso inicial a gran escala.

Puntos clave:

  • SVG armados como acceso inicial: los actores de amenazas utilizan archivos SVG incrustados con JavaScript para eludir los filtros de seguridad tradicionales e iniciar infecciones de malware en varias etapas.
  • Focalización en el sector financiero: la campaña utiliza señuelos con temática SWIFT para hacerse pasar por una comunicación financiera de confianza, dirigida específicamente a instituciones financieras de múltiples regiones.
  • Entrega de malware basado en Java: cuando se ejecuta, el JavaScript incrustado en SVG coloca un archivo ZIP que contiene un archivo JavaScript que se utiliza para descargar un cargador basado en Java. Si Java está presente, implementa malware modular que incluye Blue Banana RAT, SambaSpy y SessionBot.
  • Tácticas avanzadas de evasión: el malware realiza comprobaciones antianálisis y validación del entorno para garantizar la ejecución solo en entornos no aislados y de usuario real.
  • Abuso de la infraestructura legítima: las cargas útiles y las comunicaciones C2 se enrutan a través de Amazon S3 y Telegram, lo que ayuda a que la actividad se mezcle con el tráfico empresarial normal y eluda la detección.
  • Tendencia de espionaje emergente: esta campaña refleja un cambio más amplio en las técnicas de phishing, en las que los atacantes abusan cada vez más de formatos de archivo no tradicionales como SVG para la entrega de malware.
Visión general de la campaña

Análisis de X-Force descubrió una campaña global de phishing que aprovechaba los archivos SVG como vectores de ataque inicial. Estos archivos, disfrazados de documentos de transacciones financieras, contienen JavaScript incrustado que escribe un archivo ZIP en el sistema. Dentro del archivo, un archivo JavaScript inicia una cadena de infección de malware: en última instancia, implementa RAT como Blue Banana, SambaSpy y SessionBot. Estas cargas útiles están diseñadas para el robo de credenciales, el secuestro de sesiones, la vigilancia y la exfiltración de datos, lo que plantea riesgos significativos para las organizaciones objetivo.

El malware se comunica a través de Amazon S3 y la API de Telegram bot, mezclándose con el tráfico legítimo y complicando los esfuerzos de detección. Al utilizar un formato de archivo raramente analizado en los filtros de phishing, la campaña elude las defensas tradicionales con facilidad.

Este enfoque refleja un patrón emergente en informes de OSINT, blogs técnicos y análisis de la industria, destacando cómo cada vez más se hace un mal uso de los SVG para incrustar cargadores de malware y redirigir a las víctimas a contenidos maliciosos.

En particular, el uso de señuelos temáticos de SWIFT en la campaña, que hace referencia a la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT), la red global utilizada por las instituciones financieras para la mensajería segura, sugiere un enfoque deliberado hacia las víctimas del sector financiero.

Esta actividad ilustra una tendencia más amplia en el espionaje con phishing: los atacantes están yendo más allá del robo de credenciales para entregar malware avanzado utilizando vectores creativos y de bajo perfil. Los defensores deben adaptar la lógica de detección y la formación de los empleados en consecuencia, reconociendo que incluso los tipos de archivos inocuos como los SVG pueden actuar ahora como plataformas de entrega de malware.

Dentro de la campaña

A diferencia de las campañas típicas de phishing que buscan el robo de credenciales mediante páginas de inicio de sesión suplantadas, esta campaña pasó de señuelo a cargador, convirtiendo lo que parecía ser un archivo de imagen en el punto de partida de una cadena de infección de malware en varias etapas.

Entrega inicial: señuelo disfrazado de imagen

La fase de acceso inicial de la campaña consistía en correos electrónicos de phishing que se hacían pasar por SWIFT Global Services e instaban a los destinatarios a revisar las confirmaciones de pagos o transferencias urgentes. El archivo adjunto, presentado como documento legítimo, era un SVG armado que contenía JavaScript.

Una vez renderizado, se invita a la víctima a descargar un informe que parece ser un archivo PDF; sin embargo, al seleccionar cualquiera de esos PDFs se activará el JavaScript para guardar un archivo ZIP en el sistema.

Ejemplo de correo electrónico de phishing de SWIFT enviado a organizaciones víctimas
Figura 1: Ejemplo de correo electrónico de phishing de SWIFT enviado a organizaciones víctimas
Ejemplo de archivo SVG renderizado
Figura 2: Ejemplo de archivo SVG renderizado

De SVG a cargador de malware

Una vez extraído y descomprimido el archivo, las víctimas encuentran un archivo llamado Swift Transaction Report.js que contiene JavaScript ofuscado. El script se diseñó para evadir la detección utilizando técnicas de codificación de escape Unicode y concatenación de cadenas. La ejecución del script provocará la descarga de un archivo Java Archive (JAR) fuertemente ofuscado, como Swift Confirmation Copy.jar y Tranzacție+în+USD-pdf.jar. Estos actuaban como descargadores de primera etapa, aprovechando ofuscadores como Branchlock y Zelix KlassMaster para evadir análisis estáticos y de comportamiento.

IBM X-Force analizó algunas muestras de SVG que eliminaron el descargador JAR en lugar del archivo ZIP que contenía el JavaScript, saltándose una etapa de la cadena de infección.

Si el sistema de destino tenía instalado el entorno de tiempo de ejecución de Java (JRE), el cargador ejecutaba e iniciaba una serie de comprobaciones ambientales para detectar herramientas de análisis o entorno aislado. Estas incluían la inspección de los procesos del sistema, la entropía y los indicadores de virtualización. Solo después de validar un entorno real de usuario, el malware intentó recuperar las cargas útiles de la segunda etapa.

Para ello, recurrió a buckets de Amazon S3 controlados por atacantes, mezclando descargas maliciosas con tráfico de servicio cloud de confianza. Algunas variantes incrustaban las cargas útiles cifradas dentro de archivos señuelo de aspecto benigno para reducir aún más la probabilidad de detección durante la transferencia.

Ejecución de carga útil e implementación de malware

Una vez superadas las comprobaciones de evasión, el cargador establecía conexiones salientes con los buckets de Amazon S3 controlados por el atacante para recuperar las cargas útiles cifradas de la segunda etapa. El uso de infraestructuras basadas en la nube añadió complejidad a los esfuerzos de detección, ya que el tráfico a servicios como amazonaws.com suele mezclarse con la actividad normal de la empresa.

Se observaron cargas útiles que se descargaban de:

  • octupusgreat.s3.us-east-1.amazonaws[.]com
  • seasongretting.s3.eu-west-1.amazonaws[.]com
  • seasonmonster.s3.us-east-1.amazonaws[.]com

Tras descifrarlo y desempaquetarlo, el malware escribió archivos en ubicaciones clave de persistencia, entre ellas:

  • %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ — asegurando la ejecución al iniciar sesión del usuario
  • %AppData%\Microsoft\Vault\cred\ — se sospecha que se usa para almacenar archivos señuelo y datos exfiltrados

Además de la persistencia basada en archivos, algunas variantes registraron tareas programadas o modificaciones de claves de ejecución automática del registro para mantener el acceso a través de los reinicios del sistema. Varias muestras también retrasaron la ejecución o bloquearon la funcionalidad en función de la interacción del usuario, lo que complicó aún más la detección mediante un entorno aislado automatizado.

Capacidades modulares RAT

El malware implementado en esta campaña exhibe una arquitectura modular, lo que permite a los operadores adaptar la funcionalidad en función del entorno y los objetivos de la víctima. IBM X-Force observó el uso de múltiples cargas útiles con capacidades superpuestas de vigilancia, robo de datos y persistencia.

  • Blue Banana RAT
    Entregado a través de un archivo JAR ofuscado (windowsdefi.jar), Blue Banana permite el acceso remoto a shell, la ejecución de archivos, la recopilación de credenciales (por ejemplo, FileZilla) e incluso la participación en DDoS (denegación de servicio distribuido). Se protegió con los ofuscadores Branchlock, Zelix KlassMaster y Allatori para complicar el análisis.
  • SambaSpy RAT
    Comunicación mediante dominios DDNS sin IP (por ejemplo, wwce.zapto[.]org), SambaSpy admite el acceso a la cámara web, el registro de teclas, la monitorización del portapapeles y la manipulación de archivos. Utiliza canales cifrados con AES para la exfiltración de datos segura y admite la extensibilidad basada en complementos.
  • Implante SessionBot
    Este implante ligero (tg.jar) realiza reconocimiento del sistema, recopilando detalles como historial RDP, sesiones de usuario y red y geolocalización pública de IP. Aprovecha la API de Telegram Bot para la exfiltración y el comando y control, descargando a menudo módulos adicionales como 1.jar, 2.jar o recovery.jar.

Además, la campaña empleó un ladrón de correo electrónico centrado en Outlook (email.js) ejecutado mediante wscript.exe. Escaneó los perfiles de Outlook, extrajo el contenido de la bandeja de entrada y preparó los datos para su exfiltración a través de solicitudes HTTP POST basadas en Telegram.

Para ocultar su actividad, el malware soltaba archivos señuelo de aspecto benigno (por ejemplo, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) que se abría tras la ejecución, reforzando la ilusión de legitimidad mientras se ejecutaban procesos maliciosos en segundo plano.

Infraestructura de mando y control

Además de la infraestructura de Amazon S3 descrita anteriormente, la campaña aprovechó la API Bot de Telegram para el comando y control (C2) posterior al compromiso. Este enfoque permitió a los actores de amenazas interactuar con los hosts infectados, exfiltrar datos confidenciales y emitir instrucciones de forma dinámica, todo ello a través de una infraestructura de mensajería cifrada comúnmente permitida en los entornos empresariales.

Las comunicaciones C2 se enrutaron a través de:

  • api.telegram[.]org/bot7369538001...
  • api.telegram[.]org/bot7819421465...

Estos canales se utilizaron para el reconocimiento del sistema, la extracción de datos de la bandeja de entrada de Outlook y la captura de archivos mediante módulos de malware como SessionBot y el ladrón de Outlook email.js. El uso de Telegram proporcionaba anonimato, cifrado y facilidad operativa, al tiempo que complicaba la detección mediante la vigilancia convencional de la red.

Este modelo de infraestructura de doble canal (que combina el alojamiento de carga útil basado en la nube con la mensajería cifrada) refleja una tendencia creciente entre los actores de amenazas motivados financieramente a mezclar el tráfico malicioso con servicios de confianza, prolongando el tiempo de permanencia y aumentando las probabilidades de éxito.

Cambio de tema

X-Force observó pruebas de un cambio del uso de señuelos con temática SWIFT a un señuelo con temática de investigación de delitos financieros a partir de finales de abril.

Ejemplo de un archivo SVG que utiliza un señuelo con temática de investigación de delitos financieros
Figura 3: Ejemplo de archivo SVG con un señuelo con temática de investigación de delitos financieros

El archivo SVG que utiliza esta temática guardó un archivo JAR, Caso No.86-2025.jar, en el disco. Este JAR es el mismo descargador basado en Java utilizado en la campaña con temática de SWIFT. Otro cambio incluía un RAT basado en Java, 'STRRAT', que se observó que se descargaba junto con los RAT de SambaSpy y Blue Banana. STRRAT es conocido por sus capacidades de robo de información y su flexibilidad para ofrecer múltiples funciones maliciosas. A pesar de ser relativamente ligero, STRRAT es capaz de imitar el comportamiento de un ransomware y permitir el control remoto total de los sistemas infectados.

Por qué es importante

Esta campaña refleja una evolución más amplia en el espionaje con phishing, yendo más allá de la recolección de credenciales hacia la entrega modular de malware, el acceso a largo plazo y la exfiltración de datos. Al hacer un mal uso de los archivos SVG, un formato que los filtros de seguridad suelen pasar por alto, los actores de amenazas demuestran su voluntad de explotar las lagunas en la lógica de detección convencional.

El uso de señuelos con la temática de SWIFT pone de manifiesto un enfoque deliberado hacia las instituciones financieras, aprovechando la familiaridad y la confianza para aumentar las tasas de clics. Combinado con infraestructura basada en la nube y canales de mensajería cifrados como Telegram, los atacantes integran eficazmente la actividad maliciosa con el tráfico normal, reduciendo la probabilidad de detección temprana.

Para los defensores, esto subraya la necesidad de reevaluar las suposiciones sobre los tipos de archivos “seguros” y la infraestructura benigna. El phishing ya no es solo un problema de correo electrónico, sino un punto de entrada a ataques de intrusión sofisticados y en varias etapas. Las organizaciones deben permanecer vigilantes, ampliando la visibilidad a vectores no tradicionales y adaptando continuamente la lógica de detección para adaptarse al ritmo de innovación de los atacantes.

Recomendaciones:

Las organizaciones pueden reducir su exposición a campañas como esta combinando la visibilidad de los endpoints, la configuración segura y la formación a los usuarios.

  • Mantenga actualizadas las herramientas antivirus y EDR (detección y respuesta de endpoints): asegúrese de que los motores de detección estén actualizados para identificar las cargas útiles y los comportamientos conocidos asociados con el malware.
  • Utilice la autenticación multifactor (MFA): use MFA en todas las cuentas de usuario, especialmente en las que se utilizan para correo electrónico, acceso remoto y sistemas financieros.
  • Utilice parches de software con prontitud: para reducir oportunidades de explotación, mantenga ciclos regulares de parches para sistemas operativos, tiempos de ejecución de Java, navegadores y clientes de correo electrónico.
  • Deshabilite macros de forma predeterminada: impida la ejecución de macros a partir de archivos adjuntos de correo electrónico a menos que se aprueben y firmen explícitamente.
  • Otorgue privilegios mínimos: limite los permisos de las cuentas de usuario a solo lo necesario para reducir el radio de explosión de una vulneración exitosa.
  • Supervise los abusos en la nube: inspeccione el tráfico de red saliente en busca de conexiones sospechosas a plataformas de almacenamiento en la nube como Amazon S3, en particular a buckets desconocidos o mal configurados.
  • Entrene a los empleados en tácticas de phishing: eduque al personal, especialmente a los que desempeñan funciones financieras y administrativas, sobre cómo reconocer señuelos, tipos de archivos y métodos de entrega sospechosos.

Indicadores de compromiso

Indicador

Tipo de indicador

Contexto

141e8bf99ff6b58816951ed8bfd82
1079d8082be6c02cb36f0fd1ffe4e
06e664

Hash de archivo SHA256

Tranzacție+în+USD-pdf.jar (descargador de Java)

ae345b40d165255284bf4c6ab00
a871fcb035b552ac0b20b3cfb19e4
644e49b7

Hash de archivo SHA256

Swift Confirmation Copy.jar (descargador de Java)

a4ed118f15c5c943d5964fe381f1bd
4f9ce02d4c0f0212d3f2e95a0e37e
2d1a2

Hash de archivo SHA256

Caso No.86-2025.jar (descargador de Java)

6a9f195f6fa9b298b94235b9b7dfa
415f67ce29d0f5135d3e6705ae3c8
4da88b

Hash de archivo SHA256

email.js (ladrón de correo electrónico de Outlook)

8bcba87df6d459a573441fb848b9
0451d65bce3a0f2AC08844c09892
2672b734

Hash de archivo SHA256

Swift Confirmation Copy.pdf (archivo señuelo)

701435e822a78b82d53281af3ffb2
0b3732462ec99c6f36afdfc6f8eed
4123f9

Hash de archivo SHA256

Swift Transaction Report.js (descargador de JavaScript)

f92240185abf62317800180aba0fb
da19d8e494a693e5a223003f52a8
8e3dda8

Hash de archivo SHA256

windowsdefi.jar (Blue Banana RAT)

b0dcc56ae5e90f6f2f4d05c679508
32550b05505731b298f8230f0e43e
F35C9E

Hash de archivo SHA256

soso.jar (SambaSpy RAT)

bc039b022d1a60cb519ae0f43f07d
7155273867cc40ce78025959733d7
95f96f

Hash de archivo SHA256

core.jar (STRRAT RAT)

6ebab76c90cb36c09119a922d385
45326bb7f211d6b4b9792530e6771
67d0477 

Hash de archivo SHA256

tg.jar (implante de SessionBot)

tcp[:]//wwce.zapto[.]org:443

Dominio

C2 para SambaSpy y Blue Banana RAT

tcp[:]//wce.zapto[.]org:443

Dominio

C2 para SambaSpy y Blue Banana RAT

str-master[.]pw

Dominio

C2 para STRRAT

api.telegram[.]org

Dominio

Exfiltración y comunicación de bot a través de la API de Telegram

https[:]//octupusgreat.s3.us-east-1.amazonaws[.]COM

URL

Carga útil inicial alojada en el bucket de Amazon S3

https[:]//seasongretting.s3.eu-west-1.amazonaws[.]COM

URL

Cargas útiles alojadas en el bucket de Amazon S3

https[:]//seasonmonster.s3.us-east-1.amazonaws[.]COM

URL

Cargas útiles alojadas en el bucket de Amazon S3

https[:]//fullpremier.s3.eu-west-1.amazonaws[.]COM

URL

Cargas útiles alojadas en el bucket de Amazon S3

java -jar Tranzacție+în+USD-pdf.jar

Proceso

Comando de ejecución de malware

tasklist.exe

Proceso

Utilizado por malware para enumerar herramientas de análisis

wscript.exe email.js

Proceso

Ejecuta el proceso de robo de correo electrónico

swiftzjy1@financeplus[.]me

Dirección de correo electrónico

Correo electrónico del actor de amenazas

swiftkbp1@farmaciafamiliei[.]md

Dirección de correo electrónico

Correo electrónico del actor de amenazas

swiftkcs1@farmaciafamiliei[.]md

Dirección de correo electrónico

Correo electrónico del actor de amenazas

swiftotb1@financeplus[.]me

Dirección de correo electrónico

Correo electrónico del actor de amenazas

swiftugt1@financeplus[.]me

Dirección de correo electrónico

Correo electrónico del actor de amenazas

swiftvqz1@financeplus[.]me

Dirección de correo electrónico

Correo electrónico del actor de amenazas

swiftzjy1@financeplus[.]me

Dirección de correo electrónico

Correo electrónico del actor de amenazas

Copia de confirmación de Swift.jar

Archivo Java Archive

JAR malicioso utilizado en la ejecución inicial

Swift Transaction Report.js

Archivo JavaScript

Cargador de JavaScript ofuscado

Swift Confirmation Copy.pdf

Archivo PDF

Se muestra el archivo PDF señuelo tras la infección inicial

La inteligencia de amenazas IBM X-Force Premier ahora está integrada con OpenCTI de Filigran, lo que ofrece inteligencia de amenazas que se puede ejecutar sobre esta actividad de amenazas y mucho más. Acceda a conocimientos sobre actores de amenazas, malware y riesgos de sectores. Instale X-Force OpenCTI Connector para mejorar la detección y la respuesta, reforzando su ciberseguridad con la experiencia de IBM X-Force. ¡Obtenga una prueba de 30 días de X-Force Premier inteligencia de amenazas hoy mismo!

