Grupos de ciberdelincuentes han puesto en marcha nuevas campañas dirigidas específicamente a cuentas corporativas en redes sociales y a usuarios de correo electrónico empresarial. Por un lado, se observan ataques de phishing tipo adversary-in-the-middle (AitM) contra TikTok for Business para secuestrar sesiones y eludir la autenticación multifactor. Paralelamente, se ha detectado una oleada independiente de correos con adjuntos SVG maliciosos, asociada a malware con similitudes técnicas con el ransomware BianLian. Estas campañas ilustran la combinación de ingeniería social y técnicas avanzadas para evadir los controles de seguridad tradicionales.
Por qué las cuentas TikTok for Business son un objetivo prioritario
Las cuentas de empresa en TikTok representan un activo de alto valor para los atacantes. Un perfil corporativo comprometido puede emplearse para malvertising: publicación de anuncios fraudulentos, enlaces de phishing y descargas de malware que se presentan como contenido legítimo de la marca. Según análisis de Push Security y otros proveedores de seguridad, TikTok ya se ha utilizado en repetidas ocasiones para distribuir ladrones de información como Vidar, StealC o Aura Stealer, a menudo ocultos tras vídeos generados con IA que ofrecen supuestas “activaciones” de Windows, Spotify o CapCut, una variante de los conocidos fraudes “ClickFix”.
Ataques de phishing AitM contra TikTok for Business
Ingeniería social y páginas falsas de TikTok y Google
La cadena de ataque comienza con un correo de phishing o un mensaje directo que invita a la víctima a seguir un enlace. Ese enlace conduce a una página que imita la interfaz de TikTok for Business o a un sitio que simula ser Google Careers, donde se propone “hablar sobre una vacante” o agendar una llamada. Investigadores como Sublime Security ya habían documentado iteraciones previas de esta campaña, en las que los mensajes se hacían pasar por comunicaciones de departamentos de marketing o reclutamiento, aumentando la probabilidad de clic.
Cloudflare Turnstile y proxys AitM para robar sesiones
Un aspecto destacable de esta operación es el uso malicioso de Cloudflare Turnstile, un sistema de verificación sin CAPTCHA diseñado para diferenciar humanos de bots. Los atacantes integran Turnstile en sus páginas fraudulentas con dos objetivos principales: filtrar escáneres automatizados (lo que reduce la detección temprana de los sitios) y asegurarse de que solo usuarios reales avancen en el flujo de ataque.
Tras superar Turnstile, la víctima es redirigida a una página AitM (adversary-in-the-middle), que actúa como un proxy entre el navegador de la víctima y el servidor legítimo de TikTok. De este modo, los delincuentes capturan tanto credenciales (usuario y contraseña) como tokens de sesión. Estos tokens permiten eludir la autenticación multifactor (2FA) y acceder a la cuenta como si fueran el usuario legítimo. Para dificultar su identificación, las páginas de phishing suelen alojarse en dominios recién registrados, vinculados temáticamente con publicidad, marketing o empleo.
Campaña con archivos SVG y malware relacionado con BianLian
Archivos SVG como vector de infección poco habitual
De forma paralela, investigadores de WatchGuard han documentado una campaña de phishing dirigida a usuarios en Venezuela que emplea archivos SVG como adjuntos maliciosos. Estos ficheros, con nombres en español que simulan facturas, recibos o presupuestos (facturas, recibos, presupuestos), inducen al usuario a abrirlos con la apariencia de documentos inofensivos.
Al visualizar el SVG, se ejecuta una llamada a una URL remota desde la que se descarga un componente malicioso. Para ocultar el destino real, los atacantes recurren a un acortador de enlaces (ja.cat) y a vulnerabilidades de open redirect en sitios legítimos. Así, la víctima cree estar accediendo a un dominio confiable, cuando en realidad termina en la infraestructura de distribución de malware. Este enfoque confirma que formatos considerados “seguros”, como SVG, pueden ser el punto de partida de cadenas de infección complejas.
Malware en Go y paralelismos con el ransomware BianLian
El ejecutable descargado está desarrollado en Go y, según WatchGuard, presenta múltiples coincidencias con muestras del ransomware BianLian descritas públicamente por SecurityScorecard a principios de 2024. Estos solapamientos pueden deberse a la reutilización directa de código o a la adaptación de un toolkit ya existente para una nueva campaña. La elección de Go es coherente con la tendencia observada en numerosos grupos de ransomware que migran a este lenguaje por su capacidad multiplataforma, rendimiento y mayor dificultad de análisis estático frente a binarios clásicos en C/C++.
La combinación de SVG como vector inicial, servicios de acortamiento de URL y abuso de redirecciones abiertas compone una cadena de ataque difícil de detectar únicamente con filtros de firma o listas negras, lo que obliga a reforzar las capacidades de análisis de comportamiento y sandboxing en los entornos corporativos.
Ante el incremento de ataques contra cuentas corporativas en redes sociales y canales de correo, resulta esencial que las organizaciones integren estos riesgos en su estrategia global de ciberseguridad. Es recomendable proteger las cuentas de TikTok, Instagram, X y otras plataformas con autenticación robusta basada en llaves de hardware FIDO2 o notificaciones push, evitando depender de códigos SMS. Asimismo, conviene formar de manera continua al personal para identificar correos de phishing, falsas ofertas de empleo y propuestas de colaboraciones publicitarias, y desplegar filtros avanzados para adjuntos, incluidos SVG, HTML, ISO y ZIP, apoyados en sandboxing y filtrado de contenido. Complementar estas medidas con la supervisión de actividad anómala en redes sociales —campañas publicitarias inesperadas, cambios de contacto o enlaces sospechosos— permite reducir de forma significativa el riesgo de secuestro de cuentas y de intrusiones que puedan derivar en la ejecución de ransomware como BianLian u otras familias emergentes.
