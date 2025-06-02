A lo largo de 2025, IBM X-Force ha estado rastreando una campaña de phishing dirigida a instituciones financieras de todo el mundo. Esta operación aprovechaba archivos escalables de gráficos vectoriales (SVG) armados con JavaScript para iniciar infecciones de malware en varias etapas. Aunque el uso de SVGs en el phishing no es nuevo, los informes recientes indican un aumento notable de esta táctica, lo que indica un cambio más amplio en el panorama de las amenazas.
Esta campaña va más allá de la recolección tradicional de credenciales: emplea cargadores avanzados, troyanos modulares de acceso remoto (RATs) e infraestructuras de confianza como Amazon S3 y Telegram para mando y control (C2). La actividad muestra cómo los atacantes están evolucionando las técnicas de phishing en operaciones de acceso inicial a gran escala.
Análisis de X-Force descubrió una campaña global de phishing que aprovechaba los archivos SVG como vectores de ataque inicial. Estos archivos, disfrazados de documentos de transacciones financieras, contienen JavaScript incrustado que escribe un archivo ZIP en el sistema. Dentro del archivo, un archivo JavaScript inicia una cadena de infección de malware: en última instancia, implementa RAT como Blue Banana, SambaSpy y SessionBot. Estas cargas útiles están diseñadas para el robo de credenciales, el secuestro de sesiones, la vigilancia y la exfiltración de datos, lo que plantea riesgos significativos para las organizaciones objetivo.
El malware se comunica a través de Amazon S3 y la API de Telegram bot, mezclándose con el tráfico legítimo y complicando los esfuerzos de detección. Al utilizar un formato de archivo raramente analizado en los filtros de phishing, la campaña elude las defensas tradicionales con facilidad.
Este enfoque refleja un patrón emergente en informes de OSINT, blogs técnicos y análisis de la industria, destacando cómo cada vez más se hace un mal uso de los SVG para incrustar cargadores de malware y redirigir a las víctimas a contenidos maliciosos.
En particular, el uso de señuelos temáticos de SWIFT en la campaña, que hace referencia a la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT), la red global utilizada por las instituciones financieras para la mensajería segura, sugiere un enfoque deliberado hacia las víctimas del sector financiero.
Esta actividad ilustra una tendencia más amplia en el espionaje con phishing: los atacantes están yendo más allá del robo de credenciales para entregar malware avanzado utilizando vectores creativos y de bajo perfil. Los defensores deben adaptar la lógica de detección y la formación de los empleados en consecuencia, reconociendo que incluso los tipos de archivos inocuos como los SVG pueden actuar ahora como plataformas de entrega de malware.
A diferencia de las campañas típicas de phishing que buscan el robo de credenciales mediante páginas de inicio de sesión suplantadas, esta campaña pasó de señuelo a cargador, convirtiendo lo que parecía ser un archivo de imagen en el punto de partida de una cadena de infección de malware en varias etapas.
La fase de acceso inicial de la campaña consistía en correos electrónicos de phishing que se hacían pasar por SWIFT Global Services e instaban a los destinatarios a revisar las confirmaciones de pagos o transferencias urgentes. El archivo adjunto, presentado como documento legítimo, era un SVG armado que contenía JavaScript.
Una vez renderizado, se invita a la víctima a descargar un informe que parece ser un archivo PDF; sin embargo, al seleccionar cualquiera de esos PDFs se activará el JavaScript para guardar un archivo ZIP en el sistema.
Una vez extraído y descomprimido el archivo, las víctimas encuentran un archivo llamado Swift Transaction Report.js que contiene JavaScript ofuscado. El script se diseñó para evadir la detección utilizando técnicas de codificación de escape Unicode y concatenación de cadenas. La ejecución del script provocará la descarga de un archivo Java Archive (JAR) fuertemente ofuscado, como Swift Confirmation Copy.jar y Tranzacție+în+USD-pdf.jar. Estos actuaban como descargadores de primera etapa, aprovechando ofuscadores como Branchlock y Zelix KlassMaster para evadir análisis estáticos y de comportamiento.
IBM X-Force analizó algunas muestras de SVG que eliminaron el descargador JAR en lugar del archivo ZIP que contenía el JavaScript, saltándose una etapa de la cadena de infección.
Si el sistema de destino tenía instalado el entorno de tiempo de ejecución de Java (JRE), el cargador ejecutaba e iniciaba una serie de comprobaciones ambientales para detectar herramientas de análisis o entorno aislado. Estas incluían la inspección de los procesos del sistema, la entropía y los indicadores de virtualización. Solo después de validar un entorno real de usuario, el malware intentó recuperar las cargas útiles de la segunda etapa.
Para ello, recurrió a buckets de Amazon S3 controlados por atacantes, mezclando descargas maliciosas con tráfico de servicio cloud de confianza. Algunas variantes incrustaban las cargas útiles cifradas dentro de archivos señuelo de aspecto benigno para reducir aún más la probabilidad de detección durante la transferencia.
Una vez superadas las comprobaciones de evasión, el cargador establecía conexiones salientes con los buckets de Amazon S3 controlados por el atacante para recuperar las cargas útiles cifradas de la segunda etapa. El uso de infraestructuras basadas en la nube añadió complejidad a los esfuerzos de detección, ya que el tráfico a servicios como amazonaws.com suele mezclarse con la actividad normal de la empresa.
Se observaron cargas útiles que se descargaban de:
Tras descifrarlo y desempaquetarlo, el malware escribió archivos en ubicaciones clave de persistencia, entre ellas:
Además de la persistencia basada en archivos, algunas variantes registraron tareas programadas o modificaciones de claves de ejecución automática del registro para mantener el acceso a través de los reinicios del sistema. Varias muestras también retrasaron la ejecución o bloquearon la funcionalidad en función de la interacción del usuario, lo que complicó aún más la detección mediante un entorno aislado automatizado.
El malware implementado en esta campaña exhibe una arquitectura modular, lo que permite a los operadores adaptar la funcionalidad en función del entorno y los objetivos de la víctima. IBM X-Force observó el uso de múltiples cargas útiles con capacidades superpuestas de vigilancia, robo de datos y persistencia.
Además, la campaña empleó un ladrón de correo electrónico centrado en Outlook (email.js) ejecutado mediante wscript.exe. Escaneó los perfiles de Outlook, extrajo el contenido de la bandeja de entrada y preparó los datos para su exfiltración a través de solicitudes HTTP POST basadas en Telegram.
Para ocultar su actividad, el malware soltaba archivos señuelo de aspecto benigno (por ejemplo, Tranzacție+în+USD-pdf.txt, Swift Confirmation Copy.pdf) que se abría tras la ejecución, reforzando la ilusión de legitimidad mientras se ejecutaban procesos maliciosos en segundo plano.
Además de la infraestructura de Amazon S3 descrita anteriormente, la campaña aprovechó la API Bot de Telegram para el comando y control (C2) posterior al compromiso. Este enfoque permitió a los actores de amenazas interactuar con los hosts infectados, exfiltrar datos confidenciales y emitir instrucciones de forma dinámica, todo ello a través de una infraestructura de mensajería cifrada comúnmente permitida en los entornos empresariales.
Las comunicaciones C2 se enrutaron a través de:
Estos canales se utilizaron para el reconocimiento del sistema, la extracción de datos de la bandeja de entrada de Outlook y la captura de archivos mediante módulos de malware como SessionBot y el ladrón de Outlook email.js. El uso de Telegram proporcionaba anonimato, cifrado y facilidad operativa, al tiempo que complicaba la detección mediante la vigilancia convencional de la red.
Este modelo de infraestructura de doble canal (que combina el alojamiento de carga útil basado en la nube con la mensajería cifrada) refleja una tendencia creciente entre los actores de amenazas motivados financieramente a mezclar el tráfico malicioso con servicios de confianza, prolongando el tiempo de permanencia y aumentando las probabilidades de éxito.
X-Force observó pruebas de un cambio del uso de señuelos con temática SWIFT a un señuelo con temática de investigación de delitos financieros a partir de finales de abril.
El archivo SVG que utiliza esta temática guardó un archivo JAR, Caso No.86-2025.jar, en el disco. Este JAR es el mismo descargador basado en Java utilizado en la campaña con temática de SWIFT. Otro cambio incluía un RAT basado en Java, 'STRRAT', que se observó que se descargaba junto con los RAT de SambaSpy y Blue Banana. STRRAT es conocido por sus capacidades de robo de información y su flexibilidad para ofrecer múltiples funciones maliciosas. A pesar de ser relativamente ligero, STRRAT es capaz de imitar el comportamiento de un ransomware y permitir el control remoto total de los sistemas infectados.
Esta campaña refleja una evolución más amplia en el espionaje con phishing, yendo más allá de la recolección de credenciales hacia la entrega modular de malware, el acceso a largo plazo y la exfiltración de datos. Al hacer un mal uso de los archivos SVG, un formato que los filtros de seguridad suelen pasar por alto, los actores de amenazas demuestran su voluntad de explotar las lagunas en la lógica de detección convencional.
El uso de señuelos con la temática de SWIFT pone de manifiesto un enfoque deliberado hacia las instituciones financieras, aprovechando la familiaridad y la confianza para aumentar las tasas de clics. Combinado con infraestructura basada en la nube y canales de mensajería cifrados como Telegram, los atacantes integran eficazmente la actividad maliciosa con el tráfico normal, reduciendo la probabilidad de detección temprana.
Para los defensores, esto subraya la necesidad de reevaluar las suposiciones sobre los tipos de archivos “seguros” y la infraestructura benigna. El phishing ya no es solo un problema de correo electrónico, sino un punto de entrada a ataques de intrusión sofisticados y en varias etapas. Las organizaciones deben permanecer vigilantes, ampliando la visibilidad a vectores no tradicionales y adaptando continuamente la lógica de detección para adaptarse al ritmo de innovación de los atacantes.
Las organizaciones pueden reducir su exposición a campañas como esta combinando la visibilidad de los endpoints, la configuración segura y la formación a los usuarios.
Indicador
Tipo de indicador
Contexto
141e8bf99ff6b58816951ed8bfd82
Hash de archivo SHA256
Tranzacție+în+USD-pdf.jar (descargador de Java)
ae345b40d165255284bf4c6ab00
Hash de archivo SHA256
Swift Confirmation Copy.jar (descargador de Java)
a4ed118f15c5c943d5964fe381f1bd
Hash de archivo SHA256
Caso No.86-2025.jar (descargador de Java)
6a9f195f6fa9b298b94235b9b7dfa
Hash de archivo SHA256
email.js (ladrón de correo electrónico de Outlook)
8bcba87df6d459a573441fb848b9
Hash de archivo SHA256
Swift Confirmation Copy.pdf (archivo señuelo)
701435e822a78b82d53281af3ffb2
Hash de archivo SHA256
Swift Transaction Report.js (descargador de JavaScript)
f92240185abf62317800180aba0fb
Hash de archivo SHA256
windowsdefi.jar (Blue Banana RAT)
b0dcc56ae5e90f6f2f4d05c679508
Hash de archivo SHA256
soso.jar (SambaSpy RAT)
bc039b022d1a60cb519ae0f43f07d
Hash de archivo SHA256
core.jar (STRRAT RAT)
6ebab76c90cb36c09119a922d385
Hash de archivo SHA256
tg.jar (implante de SessionBot)
tcp[:]//wwce.zapto[.]org:443
Dominio
C2 para SambaSpy y Blue Banana RAT
tcp[:]//wce.zapto[.]org:443
Dominio
C2 para SambaSpy y Blue Banana RAT
str-master[.]pw
Dominio
C2 para STRRAT
api.telegram[.]org
Dominio
Exfiltración y comunicación de bot a través de la API de Telegram
https[:]//octupusgreat.s3.us-east-1.amazonaws[.]COM
URL
Carga útil inicial alojada en el bucket de Amazon S3
https[:]//seasongretting.s3.eu-west-1.amazonaws[.]COM
URL
Cargas útiles alojadas en el bucket de Amazon S3
https[:]//seasonmonster.s3.us-east-1.amazonaws[.]COM
URL
Cargas útiles alojadas en el bucket de Amazon S3
https[:]//fullpremier.s3.eu-west-1.amazonaws[.]COM
URL
Cargas útiles alojadas en el bucket de Amazon S3
java -jar Tranzacție+în+USD-pdf.jar
Proceso
Comando de ejecución de malware
tasklist.exe
Proceso
Utilizado por malware para enumerar herramientas de análisis
wscript.exe email.js
Proceso
Ejecuta el proceso de robo de correo electrónico
swiftzjy1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftkbp1@farmaciafamiliei[.]md
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftkcs1@farmaciafamiliei[.]md
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftotb1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftugt1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftvqz1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
swiftzjy1@financeplus[.]me
Dirección de correo electrónico
Correo electrónico del actor de amenazas
Copia de confirmación de Swift.jar
Archivo Java Archive
JAR malicioso utilizado en la ejecución inicial
Swift Transaction Report.js
Archivo JavaScript
Cargador de JavaScript ofuscado
Swift Confirmation Copy.pdf
Archivo PDF
Se muestra el archivo PDF señuelo tras la infección inicial
La inteligencia de amenazas IBM X-Force Premier ahora está integrada con OpenCTI de Filigran, lo que ofrece inteligencia de amenazas que se puede ejecutar sobre esta actividad de amenazas y mucho más. Acceda a conocimientos sobre actores de amenazas, malware y riesgos de sectores. Instale X-Force OpenCTI Connector para mejorar la detección y la respuesta, reforzando su ciberseguridad con la experiencia de IBM X-Force. ¡Obtenga una prueba de 30 días de X-Force Premier inteligencia de amenazas hoy mismo!
Conozca las amenazas más recientes y refuerce sus defensas en la nube con el informe X-Force Cloud Threat Landscape Report.
Aprenda a superar los retos y a aprovechar la resiliencia de la IA generativa en materia de ciberseguridad.
Proteja su organización de las amenazas globales con el equipo de hackers, personal de respuesta, investigadores y analistas centrados en amenazas de IBM X-Force.
Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.
Proteja su entorno móvil con las completas soluciones de defensa frente a amenazas móviles de IBM MaaS360.
Obtenga soluciones integrales de gestión de amenazas para proteger de forma experta a su empresa de los ciberataques.