Security

Storm-2561: instaladores VPN falsos y SEO poisoning

3 min de lectura

Resumen

Microsoft ha alertado sobre una campaña de Storm-2561 que usa SEO poisoning, sitios falsos y repositorios de GitHub para distribuir instaladores de VPN troyanizados que suplantan a proveedores como Pulse Secure y Fortinet. La amenaza es especialmente grave porque emplea DLL side-loading y un certificado de firma legítimo para robar credenciales y configuraciones de VPN, lo que aumenta el riesgo de acceso no autorizado a redes corporativas antes de que las organizaciones detecten el incidente.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft Threat Intelligence ha detallado una nueva campaña de Storm-2561 que debería estar en el radar de todos los equipos de seguridad. Al abusar del posicionamiento en motores de búsqueda, de sitios web falsos con marca de proveedores y hasta de certificados válidos de firma de código, los atacantes están apuntando a usuarios que buscan software de VPN empresarial de confianza y robando credenciales antes de que muchas organizaciones se den cuenta de que algo salió mal.

Novedades

Storm-2561 está distribuyendo instaladores de VPN troyanizados mediante una cadena de ataque convincente:

  • Los usuarios buscan software de VPN legítimo, como clientes de Pulse Secure o Fortinet.
  • Sitios maliciosos manipulados con SEO poisoning aparecen en los resultados de búsqueda e imitan páginas de descarga de proveedores de confianza.
  • Las víctimas son redirigidas a archivos ZIP alojados en repositorios de GitHub controlados por los atacantes.
  • El ZIP contiene un instalador MSI malicioso y DLL que imitan una implementación real de VPN.
  • El instalador coloca Pulse.exe y realiza side-loading de DLL maliciosas, incluidas dwmapi.dll e inspector.dll.
  • inspector.dll se identifica como una variante del infostealer Hyrax, que extrae credenciales de VPN y datos de configuración.

Microsoft también señaló que el malware estaba firmado con un certificado legítimo de “Taiyuan Lihua Near Information Technology Co., Ltd.”. Desde entonces, ese certificado ha sido revocado, pero el uso de una firma válida redujo las sospechas de los usuarios y pudo haber ayudado a evadir algunas defensas.

Comportamiento del ataque que debe conocer

El cliente de VPN falso presenta una interfaz de inicio de sesión realista para capturar credenciales directamente del usuario. Después del envío:

  • Se muestra una falsa instalación o un falso error de inicio de sesión
  • Se solicita al usuario que descargue el cliente de VPN real
  • En algunos casos, se abre el navegador en el sitio legítimo del proveedor

Esta redirección posterior al compromiso es especialmente efectiva porque los usuarios pueden instalar después el software real correctamente y nunca sospechar que sus credenciales ya fueron robadas.

La campaña también establece persistencia mediante la clave de registro RunOnce de Windows y exfiltra los datos robados a infraestructura controlada por los atacantes.

Impacto para los administradores de TI

Para los equipos de TI y seguridad, esta campaña pone de relieve un riesgo creciente: los usuarios ya no necesitan abrir archivos adjuntos de phishing en correos electrónicos para verse comprometidos. Simplemente buscar software empresarial puede conducir al robo de credenciales.

Las organizaciones con dependencias de acceso remoto deberían estar especialmente preocupadas, porque las credenciales de VPN robadas pueden permitir acceso no autorizado, movimiento lateral y ataques posteriores. El uso de branding de software falsificado y malware firmado también aumenta la probabilidad de que los usuarios finales confíen en el instalador.

Acciones recomendadas

Los administradores deberían seguir estos pasos:

  • Asegurarse de que la protección entregada desde la nube de Microsoft Defender Antivirus esté habilitada
  • Ejecutar EDR en modo de bloqueo cuando sea compatible
  • Buscar instaladores sospechosos relacionados con VPN, side-loading de DLL y persistencia mediante RunOnce
  • Revisar conexiones salientes a indicadores conocidos y descargas sospechosas alojadas en GitHub
  • Educar a los usuarios para que descarguen software de VPN solo desde portales corporativos aprobados o fuentes verificadas por el proveedor
  • Restablecer credenciales e investigar dispositivos si los usuarios informan instalaciones fallidas de VPN seguidas de una reinstalación exitosa

Este caso es un recordatorio claro de que los resultados de búsqueda pueden formar parte de la superficie de ataque, y que las señales de confianza del software por sí solas ya no son suficientes.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Threat Intelligence and Microsoft Defender Experts
SecurityMicrosoft Defendercredential theftSEO poisoningVPN malware

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.