Investigadores de Securonix han documentado JS#SMUGGLER, una campaña de múltiples fases que compromete sitios web legítimos para utilizarlos como plataforma de distribución del troyano de administración remota NetSupport RAT. El objetivo principal son usuarios corporativos que acceden a estas páginas en el curso normal de su trabajo, lo que convierte al ataque en una amenaza especialmente eficaz para la seguridad informática empresarial.
Cadena de infección de JS#SMUGGLER: una “matrioshka” de cargas maliciosas
JS#SMUGGLER se apoya en una cadena de ataque en varias capas diseñada para evadir la detección tradicional basada en firmas. La campaña combina tres componentes principales: un cargador JavaScript altamente ofuscado, un archivo HTA ejecutado mediante mshta.exe y un payload de PowerShell que finalmente instala NetSupport RAT.
Este enfoque en cascada complica el análisis forense, dispersa los indicadores de compromiso y dificulta que las soluciones de seguridad asocien todos los elementos a una misma operación maliciosa. Cada etapa actúa como “stager” de la siguiente, con una fuerte dependencia de la ejecución en memoria para reducir huellas en disco.
Primer eslabón: inyección JavaScript, redirecciones invisibles y perfilado del dispositivo
La intrusión se inicia con una inyección de JavaScript en sitios web legítimos. El código malicioso introduce un redireccionamiento discreto que carga un script externo denominado phone.js desde un dominio controlado por los atacantes y ejecuta la redirección en segundo plano, sin señales visibles para el usuario.
El archivo phone.js se encuentra fuertemente ofuscado para entorpecer el análisis y la detección automática. Su función clave es el perfilado del dispositivo: determina si el visitante utiliza un equipo de escritorio o un dispositivo móvil y ajusta el flujo de ataque en consecuencia. Para móviles, muestra un iframe a pantalla completa que oculta la actividad interna; para estaciones de trabajo, activa la segunda fase del malware, responsable de continuar la cadena de infección.
Un elemento distintivo de JS#SMUGGLER es el uso de un iframe invisible de un solo uso, que solo redirige el primer acceso asociado a un identificador específico. Esta táctica reduce la probabilidad de que analistas o sistemas de monitorización web detecten el comportamiento malicioso al revisar posteriormente la misma URL, ya que los siguientes accesos parecen legítimos.
Segundo eslabón: HTA malicioso, mshta.exe y stagers de PowerShell
El loader JavaScript de primera fase construye de forma dinámica la URL de descarga del payload HTA y la ejecuta mediante mshta.exe, una utilidad nativa de Windows diseñada para abrir aplicaciones HTML (HTA). Este binomio HTA + mshta.exe es un vector recurrente en campañas modernas, porque aprovecha mecanismos legítimos del sistema operativo que con frecuencia están permitidos por defecto.
El archivo HTA descargado actúa como un segundo cargador. Despliega un stager de PowerShell, que se escribe temporalmente en disco, se descifra y se ejecuta directamente en memoria. La ventana del HTA se oculta y se minimizan los elementos visuales, lo que hace que la actividad pase inadvertida para el usuario final.
La carga útil de PowerShell tiene como misión descargar, instalar y persistir NetSupport RAT en el sistema comprometido. El uso intensivo de técnicas “fileless” (sin archivos persistentes) dificulta el trabajo de soluciones antivirus tradicionales, que dependen en gran medida del análisis de ficheros y no siempre monitorizan con suficiente granularidad la actividad de PowerShell.
NetSupport RAT: de herramienta legítima a vector de intrusión
NetSupport RAT deriva de una solución legítima de soporte remoto, pero ha sido reutilizado de forma sistemática por actores maliciosos. La herramienta ofrece control total de la máquina comprometida: escritorio remoto, gestión de archivos, ejecución de comandos arbitrarios, exfiltración de datos y uso del equipo como nodo proxy dentro de la infraestructura del atacante.
Informes públicos de distintos CERT y proveedores de ciberseguridad han señalado en los últimos años un incremento en el abuso de herramientas de administración remota comerciales —incluida NetSupport— en campañas de phishing y compromisos de redes corporativas, precisamente porque su apariencia legítima complica su detección y bloqueo automático.
Posible relación de JS#SMUGGLER con el grupo SmartApeSG
El dominio utilizado para alojar el cargador JavaScript, boriver[.]com, figura en listados de la plataforma Abuse.ch como asociado al grupo SmartApeSG (también conocido como HANEYMANEY o ZPHP). De acuerdo con fuentes abiertas, esta agrupación emplea desde finales de 2024 inyecciones de JavaScript en sitios legítimos para distribuir NetSupport RAT.
Aunque la infraestructura y el tipo de malware coinciden con campañas atribuidas a SmartApeSG, Securonix señala que todavía no es posible afirmar con certeza si JS#SMUGGLER es una operación directa de este grupo o si otros actores están reutilizando dominios y tácticas similares. Tampoco se ha establecido un vínculo claro con un país concreto o con una APT específica.
Riesgos para empresas y recomendaciones de defensa
El principal riesgo para las organizaciones es que JS#SMUGGLER explota la confianza en webs legítimas utilizadas a diario por el personal. En este contexto, el consejo clásico de “no hacer clic en enlaces sospechosos” resulta insuficiente, ya que el dominio de destino puede ser perfectamente conocido y hasta entonces considerado seguro.
Medidas técnicas prioritarias para mitigar JS#SMUGGLER
1. Definir políticas estrictas de Content Security Policy (CSP). Limitar los dominios autorizados para cargar scripts e iframes ayuda a bloquear la inclusión de JavaScript malicioso y la descarga de payloads HTA desde infraestructuras externas no confiables.
2. Monitorizar y endurecer PowerShell. Activar el auditoría avanzada de PowerShell, restringir la ejecución de scripts no firmados y utilizar modos como Constrained Language Mode dificultan la ejecución de stagers y reducen la superficie de ataque basada en scripting.
3. Restringir mshta.exe y aplicaciones HTA. En la mayoría de los entornos corporativos modernos, los archivos HTA no son necesarios. Bloquear mshta.exe mediante AppLocker, WDAC u otras soluciones de control de aplicaciones recorta de forma significativa este vector.
4. Implantar EDR/XDR con análisis de comportamiento. Las soluciones de Endpoint Detection & Response son capaces de detectar cadenas anómalas de procesos —por ejemplo, navegador → mshta.exe → PowerShell— y conexiones hacia dominios sospechosos asociados a campañas como JS#SMUGGLER.
La creciente popularidad de NetSupport RAT y de otras herramientas de acceso remoto como armas en manos de atacantes obliga a las organizaciones a revisar de forma continua sus políticas de seguridad, actualizar sus controles técnicos y reforzar la formación del personal. Combinar defensa en profundidad, segmentación de red, monitorización proactiva y capacidad de respuesta a incidentes es esencial para reducir el impacto de operaciones complejas como JS#SMUGGLER y mejorar de forma sostenida la resiliencia frente a futuras campañas similares.
