Una nueva ola de phishing bautizada como Phantom Papa está distribuyendo el stealer Phantom mediante una cadena de entrega poco común —RAR → IMG/ISO— con foco en usuarios rusófonos y anglófonos. La campaña combina ingeniería social, técnicas de evasión y módulos orientados al robo de credenciales y a la extorsión basada en la privacidad, lo que incrementa el riesgo para empresas y usuarios.
Vector de entrada: señuelos provocativos y “confirmaciones de pago”
Los correos llegan en ruso e inglés; en varios casos, el texto en ruso muestra trazas claras de traducción automática. Las líneas de asunto alternan entre cebos explícitos (“See My Nude Pictures and Videos”) y temas contables (“Copia de pago adjunta #06162025”), elevando la tasa de apertura de adjuntos.
Cadena RAR→IMG/ISO: ejecución por montaje y evasión de filtros
Los adjuntos en .rar contienen imágenes .img o .iso. Al abrirse, el sistema monta el volumen y expone un ejecutable, táctica que reduce la detección en pasarelas de correo y explota la confianza del usuario en “imágenes de disco”. Esta técnica se alinea con Phishing (MITRE ATT&CK T1566) y User Execution: Malicious File (T1204.002).
Blanco y alcance geográfico
Los registros disponibles apuntan a objetivos en retail, industria, construcción e IT, con actividad en al menos 19 países —entre ellos EE. UU., Rusia, Reino Unido, Rumanía, España, Kazajistán y Bielorrusia—. Parte de los impactos proviene de laboratorios con máquinas virtuales de analistas, hecho habitual en este tipo de investigaciones.
Capacidades de Phantom stealer
Basado en código público de Stealerium, Phantom acelera el desarrollo y facilita variantes. Recolecta telemetría del sistema (Windows, host, idioma, AV, CPU/GPU/RAM, batería, monitores, disponibilidad de webcam) y extrae cookies, contraseñas y datos de tarjetas desde navegadores, además de documentos e imágenes. Esto mapea con Credentials from Password Stores – Browsers (T1555.003) y Keylogging (T1056.001).
Persistencia, evasión y movimiento de datos
El malware se copia en %APPDATA%\iWlfdcmimm.exe y %TEMP%\tmpB043.tmp, y crea una tarea programada para persistir (T1053.005). Integra anti‑análisis, compatibilidad con ofuscadores (T1027) y keylogger. La exfiltración utiliza Telegram, Discord y SMTP —incluido el bot papaobilogs, activo al menos desde abril de 2025—, en línea con Exfiltration Over C2 Channel (T1041) y Exfiltration to Web Services (T1567).
Módulo “PornDetector”: presión mediante privacidad
Un componente adicional vigila la ventana activa y, si detecta cadenas como “porn”, “sex”, “hentai” o “chaturbate”, realiza una captura de pantalla (ruta %LOCALAPPDATA%\[0-9a-f]{32}\logs\nsfw\yyyy-MM-dd\HH.mm.ss\) y, tras 12 segundos de persistir la actividad, toma una foto con la webcam. Este módulo amplía el vector de chantaje y agrava el impacto reputacional y psicológico de la intrusión.
Infraestructura MaaS y comercialización
Los operadores distribuyen Phantom desde un sitio cuyo dominio fue registrado en febrero de 2025, con una “tienda” que ofrece Phantom crypter, Phantom stealer advanced y basic. Este modelo Malware‑as‑a‑Service (MaaS) abarata la entrada a actores con menos capacidades y acelera la propagación de campañas.
Evaluación y contexto de amenazas
El reciclaje de código abierto y el uso de mensajería popular para C2 refuerzan una tendencia conocida: apoyarse en servicios legítimos para degradar la detección y complicar el bloqueo. La entrega por IMG/ISO y la persistencia vía planificador consolidan un conjunto de TTP coherente con ATT&CK, mientras que el módulo de privacidad aumenta el riesgo de extorsión, incluso en incidentes con robo limitado de datos.
Medidas de mitigación y detección recomendadas
Control de salida: limitar Telegram/Discord y otros mensajeros en endpoints sin necesidad de negocio; monitorizar llamadas HTTP(S) a sus APIs.
Correo y adjuntos: bloquear o poner en cuarentena RAR/IMG/ISO en el gateway y restringir el montaje de imágenes de disco a perfiles con privilegios.
EDR/NGAV: reglas para detección de creación de tareas por procesos desconocidos, ejecución desde volúmenes montados, escrituras en %APPDATA%/%TEMP% y acceso masivo a perfiles de navegador.
Privacidad y periféricos: segmentar permisos de cámara, alertar o bloquear invocaciones de APIs de webcam por procesos no confiables, y registrar accesos a dispositivos y al portapapeles.
Concienciación: formación para identificar traducciones de mala calidad, asuntos provocativos y supuestos comprobantes de pago inesperados, verificando siempre por canales alternos.
La campaña Phantom Papa ilustra cómo el binomio “phishing + imágenes de disco” y un stealer modular convierten incidentes comunes en fugas críticas de credenciales y datos sensibles. Fortalecer el filtrado de adjuntos, el control de tráfico saliente y la telemetría de comportamiento, junto con la formación continua, reduce drásticamente la superficie de ataque y la probabilidad de extorsión basada en la privacidad.
