Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Feb 2026  

Dentro de las Sombras: Cómo la Nueva Campaña de Phishing de Agent Tesla Supera las Defensas de Seguridad

Una ola implacable de correos de phishing está desatando una versión más sigilosa de Agent Tesla, que explota técnicas de process hollowing y anti-análisis para robar credenciales sin ser detectado.

Cuando un correo electrónico prometiendo una nueva orden de compra llega a tu bandeja de entrada, la urgencia suele imponerse sobre la precaución. Pero para miles de destinatarios desprevenidos en todo el mundo, este momento aparentemente rutinario marca el inicio de un sofisticado robo cibernético. En el centro de esta operación: Agent Tesla, un notorio troyano de acceso remoto (RAT) que ha evolucionado silenciosamente hasta convertirse en un maestro del disfraz digital.

La Trampa de Phishing: Un Cebo Familiar, un Nuevo Aguijón

La campaña más reciente comienza con un correo aparentemente inocente - líneas de asunto como “Nueva orden de compra PO0172” están diseñadas para imitar la correspondencia empresarial cotidiana. Pero el archivo RAR adjunto oculta un archivo JScript ofuscado, eludiendo muchos filtros de seguridad de correo al evitar firmas ejecutables evidentes.

Juegos en Memoria: Sin Archivos, Encriptado e Invisible

Una vez abierto, el script malicioso descarga un cargador de PowerShell desde un sitio externo. Aquí es donde la operación se vuelve quirúrgica: el cargador está cifrado con AES y solo se descifra en memoria, sin dejar huellas para las herramientas tradicionales de detección en endpoints. Este enfoque “sin archivos” significa que el malware nunca toca el disco, haciendo que el análisis forense sea una pesadilla.

Process Hollowing: Ocultándose a Plena Vista

El siguiente movimiento de Agent Tesla es secuestrar un componente legítimo de Windows - específicamente, aspnet_compiler.exe. A través de process hollowing, el malware inyecta su propio código en el proceso confiable, borrando el original y ejecutándose bajo el radar. El software de seguridad que escanea procesos sospechosos solo encontrará lo que parece ser un archivo del sistema, mientras Agent Tesla trabaja en silencio.

Anti-Análisis: Superando a los Vigilantes

Antes de comenzar el robo de datos, Agent Tesla revisa su entorno. Busca señales reveladoras de entornos sandbox y herramientas de monitoreo de seguridad, como cadenas de virtualización o DLLs de seguridad. Si detecta que está siendo observado, se autodestruye, asegurando que los investigadores y las defensas automatizadas se queden con las manos vacías.

Cosecha y Exfiltración: El Final del Juego

Con el camino despejado, Agent Tesla recolecta cookies de navegador, credenciales e información del sistema. Los datos robados se exfiltran vía SMTP a servidores de correo controlados por los atacantes, a menudo en grandes cantidades - los investigadores han observado numerosos mensajes rebotados desde estos dominios, lo que da una idea de la magnitud de la operación.

Conclusión: La Amenaza Persistente de un Malware en Evolución

A pesar de su notoriedad, los desarrolladores de Agent Tesla no se conforman con éxitos pasados. Al combinar phishing, ejecución sin archivos, process hollowing y anti-análisis, han hecho que una vieja amenaza sea nuevamente formidable. Para organizaciones e individuos por igual, la lección es clara: la vigilancia y la seguridad en capas siguen siendo esenciales, ya que los ciberdelincuentes continúan perfeccionando su oficio en las sombras.

WIKICROOK

  • Process Hollowing: El process hollowing es una técnica en la que el malware se oculta en la memoria de un programa legítimo, permitiéndole evadir la detección y ejecutar acciones maliciosas.
  • Troyano de Acceso Remoto (RAT): Un troyano de acceso remoto (RAT) es un malware que permite a los atacantes controlar en secreto la computadora de una víctima desde cualquier lugar, facilitando el robo y el espionaje.
  • Malware Sin Archivos: El malware sin archivos es un software malicioso que se ejecuta en la memoria de una computadora, evitando el almacenamiento en disco y dificultando su detección por herramientas de seguridad tradicionales.
  • Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Cifrado AES: El cifrado AES es un método potente para convertir datos en un formato seguro, asegurando que solo las partes autorizadas puedan acceder a la información original.
Agent Tesla Phishing Cybersecurity
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news