Una reciente campaña atribuida al grupo Storm-2561 está utilizando técnicas avanzadas de posicionamiento en buscadores (SEO poisoning) para distribuir un falso cliente de VPN corporativa que en realidad instala el infostealer Hyrax. El objetivo principal son organizaciones que dependen de soluciones de acceso remoto de fabricantes como Ivanti, Cisco, Fortinet, Pulse Secure, Sophos, SonicWall o Check Point, entre otros.
Storm-2561 y la suplantación de proveedores de VPN corporativa
El análisis de Microsoft muestra que Storm-2561 registra dominios que imitan de forma muy convincente a los sitios oficiales de varios fabricantes de VPN y firewalls corporativos. Estos dominios fraudulentos reproducen logotipos, diseño, estructura de menús y textos de las páginas legítimas, lo que dificulta que el usuario detecte indicios de fraude.
Consultas tan habituales como “Pulse VPN download” o “Pulse Secure client” pueden llevar a los usuarios a estos sitios clonados, en lugar de a la página oficial del proveedor. El riesgo es especialmente elevado para administradores y empleados que descargan por su cuenta clientes VPN para teletrabajo o acceso remoto a la infraestructura interna.
SEO poisoning: manipulación de resultados de búsqueda para distribuir malware
La táctica de SEO poisoning consiste en optimizar páginas maliciosas para que aparezcan en las primeras posiciones de buscadores legítimos. Para lograrlo, los atacantes emplean técnicas de posicionamiento web (palabras clave, enlaces, contenido copiado de la web oficial) e incluso redes de sitios comprometidos que apuntan hacia las páginas falsas.
Al tratarse de descargas de software muy buscadas (clientes VPN corporativos), basta con que una pequeña fracción de usuarios haga clic en el resultado manipulado para que la campaña resulte efectiva. Este tipo de enfoque encaja con la tendencia observada en informes como Verizon DBIR, donde la comprometación de credenciales sigue siendo uno de los vectores de ataque más frecuentes.
Cadena de ataque: instalador VPN falso e infostealer Hyrax
Desde las páginas fraudulentas, la víctima era redirigida a un repositorio de GitHub (ya eliminado) que alojaba un archivo ZIP con un supuesto instalador MSI del cliente VPN. Tras ejecutarlo, el instalador llevaba a cabo varias acciones encadenadas:
- Creación del archivo Pulse.exe en
%CommonFiles%\Pulse Secure, simulando ser el cliente legítimo. - Despliegue de un cargador malicioso dwmapi.dll para cargar código no autorizado.
- Instalación y activación de una variante del infostealer Hyrax en forma de
inspector.dll.
El falso cliente VPN muestra una interfaz de inicio de sesión creíble y solicita al usuario sus credenciales. Los nombres de usuario y contraseñas introducidos se envían de forma silenciosa a la infraestructura de mando y control de los atacantes. Adicionalmente, el malware extrae configuraciones de conexiones VPN desde el archivo connectionsstore.dat asociado al cliente legítimo de Pulse Secure.
Uso de GitHub y DLL maliciosas para evadir defensas
El alojamiento del instalador en un repositorio público como GitHub dificulta, en muchos casos, la detección temprana, ya que se trata de una plataforma reputada y frecuentemente permitida en entornos corporativos. El uso de DLL maliciosas (dwmapi.dll, inspector.dll) forma parte de una técnica clásica de DLL search order hijacking, que aprovecha la forma en que Windows carga bibliotecas dinámicas.
Abuso de certificados digitales revocados
Microsoft destaca que parte del código malicioso estaba firmado con un certificado digital real, pero ya revocado, perteneciente a Taiyuan Lihua Near Information Technology. Firmar el binario con un certificado previamente válido incrementa la confianza de algunos controles de seguridad y usuarios, y complica el bloqueo basado exclusivamente en la verificación de firma.
Ingeniería social y baja visibilidad de la intrusión
Tras robar credenciales y configuraciones, el instalador muestra un mensaje de error de instalación y redirige de forma automática al sitio oficial del proveedor, donde la víctima puede descargar el cliente legítimo. Desde su perspectiva, la primera instalación “falló” por un problema técnico menor y la segunda funcionó correctamente.
Como resultado, la mayoría de las víctimas no asocia el fallo inicial con un incidente de seguridad, continúa utilizando el mismo usuario y contraseña comprometidos y, en muchos casos, el acceso VPN carece de controles adicionales robustos como la autenticación multifactor.
Riesgos para la VPN corporativa y la red interna
Cuando un atacante obtiene credenciales válidas y datos de configuración de una VPN corporativa, puede conectarse a la red de la empresa como si fuera un usuario legítimo, eludiendo buena parte de las defensas perimetrales. Desde ese punto, es posible:
- Realizar movimientos laterales hacia servidores críticos y directorios activos.
- Exfiltrar información sensible y propiedad intelectual.
- Desplegar ransomware u otras cargas maliciosas de alto impacto.
Diversos estudios, como el informe IBM Cost of a Data Breach, muestran que los incidentes originados por credenciales robadas se encuentran entre los más costosos, tanto en impacto operativo como reputacional.
Medidas de protección recomendadas para VPN y acceso remoto
Para reducir la superficie de ataque frente a campañas similares a Storm-2561, es recomendable aplicar un conjunto de medidas técnicas y organizativas:
- Descargar siempre clientes VPN y actualizaciones exclusivamente desde los sitios oficiales del fabricante, evitando enlaces de resultados de búsqueda o repositorios de terceros.
- Habilitar la protección en la nube de Microsoft Defender u otras soluciones equivalentes, para recibir de forma ágil firmas e indicadores de compromiso actualizados.
- Activar capacidades EDR en modo de bloqueo (Endpoint Detection and Response) para impedir la ejecución de procesos sospechosos, no solo detectarlos.
- Aplicar autenticación multifactor (MFA) en accesos VPN y sistemas críticos, de modo que las credenciales robadas no sean suficientes para completar el inicio de sesión.
- Utilizar navegadores y pasarelas web con funciones de reputación de URL y archivos (por ejemplo, Microsoft SmartScreen o soluciones similares).
- Formar de manera continua a administradores y usuarios sobre SEO poisoning, sitios falsos y buenas prácticas de descarga de software.
La campaña de Storm-2561 confirma que incluso acciones cotidianas como “buscar y descargar un cliente VPN en Internet” pueden abrir la puerta a una intrusión grave. Reforzar los procesos de gestión de acceso remoto, controlar estrictamente las fuentes de software, generalizar el uso de MFA y desplegar soluciones modernas de protección de endpoints son pasos esenciales para mitigar este tipo de amenazas. Las organizaciones que revisen de forma proactiva sus controles de seguridad y monitoricen de cerca sus accesos VPN estarán en mejor posición para detectar y bloquear ataques antes de que se conviertan en incidentes mayores.
