Latrodectus, Remcos y otros troyanos se propagan mediante correos electrónicos dirigidos que suplantan plataformas legítimas como DocuSign, Microsoft 365 y servicios de almacenamiento.
Microsoft ha emitido una advertencia urgente sobre una serie de campañas de phishing con temática fiscal, dirigidas principalmente a empresas y usuarios de Estados Unidos, que están siendo utilizadas para distribuir malware avanzado y robar credenciales de acceso. Estos ataques, detectados entre febrero y abril de 2025, se caracterizan por el uso de archivos PDF y códigos QR como vectores de infección, además del aprovechamiento de servicios legítimos para eludir los filtros de seguridad tradicionales.
Malware avanzado disfrazado de archivos fiscales
Los atacantes han empleado archivos PDF aparentemente inocuos con enlaces a páginas falsas de DocuSign o códigos QR que redirigen a webs fraudulentas que imitan portales de Microsoft 365. En muchos casos, estas campañas hacen uso de plataformas de phishing como servicio (PhaaS), como RaccoonO365, descubierta a finales de 2024. Los ciberdelincuentes también han desplegado troyanos como Latrodectus, Remcos RAT, AHKBot, GuLoader y BruteRatel C4, entre otros.
Una de las campañas más activas, atribuida al grupo conocido como Storm-0249, fue detectada el 6 de febrero de 2025. Los correos simulaban comunicaciones fiscales y dirigían a los usuarios a páginas falsas de firmas electrónicas donde, si se cumplían ciertas condiciones de geolocalización, se descargaba un archivo JavaScript que terminaba instalando BRc4, puerta de entrada para Latrodectus.
Otra oleada, entre el 12 y el 28 de febrero, atacó a más de 2.300 organizaciones en sectores como ingeniería, consultoría y tecnología, utilizando archivos PDF con códigos QR que conducían a páginas fraudulentas para recopilar credenciales.
Técnicas cada vez más sofisticadas
Microsoft advierte que los atacantes están utilizando mecanismos de redirección con servicios como Rebrandly y explotación de plataformas legítimas como Adobe, Dropbox, Canva o Zoho, que ayudan a burlar las puertas de enlace seguras de correo electrónico (SEG).
El uso de archivos SVG y técnicas del tipo browser-in-the-browser (BitB) también está en auge. Estas tácticas engañan a los usuarios con ventanas emergentes falsas de inicio de sesión, como se ha observado en ataques dirigidos a jugadores de Counter-Strike 2 para robar credenciales de Steam.
Otros métodos empleados incluyen:
- Falsas alertas de seguridad en sitios web que imitan sistemas Windows o Apple para obtener acceso remoto.
- Correos de phishing suplantando a Spotify y Apple Music para robar credenciales bancarias.
- Malware distribuido mediante instaladores falsos de Windows, como DeepSeek y i4Tools, que instalan el RAT Gh0st.
- Campañas dirigidas a empresas españolas que distribuyen el ladrón de información DarkCloud mediante facturas falsas.
- Phishing bancario en Rumanía para distribuir Masslogger.
Recomendaciones clave para protegerse
Microsoft y otros expertos en ciberseguridad recomiendan adoptar medidas de seguridad proactivas, especialmente en épocas sensibles como la campaña fiscal. Entre las recomendaciones destacan:
- Implementar autenticación multifactor resistente al phishing (MFA).
- Usar navegadores seguros con capacidad para detectar URLs maliciosas.
- Activar protección de red a nivel de endpoints para evitar el acceso a dominios sospechosos.
- Formar a los empleados para identificar correos sospechosos y evitar hacer clic en enlaces desconocidos o escanear códigos QR sin verificar.
Un escenario de amenazas en expansión
Este repunte en los ataques con temática fiscal y la sofisticación de las campañas evidencian una evolución en las tácticas de ingeniería social, que combinan herramientas legítimas con técnicas avanzadas de malware. Organizaciones de todos los tamaños deben estar alertas y reforzar sus sistemas de defensa, ya que los ciberdelincuentes continúan adaptándose para eludir las soluciones tradicionales.
Microsoft concluye que, aunque muchas campañas parezcan genéricas, el objetivo final es siempre el mismo: robar credenciales, comprometer redes empresariales y facilitar ataques de ransomware o espionaje corporativo. La prevención y la respuesta rápida siguen siendo clave para minimizar los daños.
