Netcrook Logo
👤 CRYSTALPROXY
🗓️ 29 Dec 2025   🌍 Asia

Gravados por el Engaño: Hackers Silver Fox explotan señuelos de impuestos sobre la renta en ciberataques dirigidos en India

Subtítulo: Hackers patrocinados por el Estado chino despliegan sofisticadas campañas de phishing disfrazadas de notificaciones fiscales indias, liberando malware avanzado en organizaciones desprevenidas.

Cuando un correo electrónico llega a tu bandeja de entrada con el emblema del Departamento de Impuestos sobre la Renta de la India, tu primer instinto es cumplir. Pero para un número creciente de organizaciones indias, esa confianza se ha convertido en un arma empuñada por uno de los grupos de ciberespionaje chino más escurridizos. El APT Silver Fox, anteriormente conocido por la recopilación de inteligencia regional, ha pivotado hacia un nuevo y astuto frente: el phishing temático de impuestos como arma, según revelaron los investigadores de amenazas de CloudSEK.

La investigación de CloudSEK detalla una campaña que comienza con correos electrónicos casi indistinguibles de las notificaciones fiscales legítimas. El anzuelo: archivos adjuntos etiquetados con nombres reales de empresas indias, como “TOPSOE India Private Limited”. Las víctimas que abren estos archivos son redirigidas silenciosamente a un sitio web fraudulento (ggwk[.]cc), que entrega un archivo ZIP trampa. Dentro se esconde “tax affairs.exe”, un instalador aparentemente inocuo que oculta una carga mucho más insidiosa.

Este instalador utiliza el Nullsoft Scriptable Install System (NSIS), una herramienta comúnmente empleada para empaquetar software legítimo. Pero en este caso, deja caer dos archivos: Thunder.exe (una aplicación genuina de la empresa china Xunlei) y una versión maliciosa de libexpat.dll. Aprovechando una peculiaridad en el proceso de carga de DLL de Windows, los atacantes logran que su código se ejecute bajo la apariencia de software confiable, eludiendo muchos controles de seguridad.

La DLL maliciosa está diseñada para el sigilo: desactiva las actualizaciones de Windows, evade entornos sandbox y carga una carga cifrada desde un archivo de configuración. Tras descifrar y ejecutar este código en memoria, el malware se inyecta en explorer.exe, un proceso clave del sistema, dificultando aún más su detección. La etapa final es el despliegue de Valley RAT, un troyano de acceso remoto con capacidades de keylogging, robo de archivos y vigilancia persistente. Su comunicación con los servidores de comando y control es robusta, utilizando múltiples dominios y protocolos para asegurar el acceso ininterrumpido de los atacantes.

Lo que hace que esta campaña sea especialmente peligrosa es su uso del Registro de Windows para lograr persistencia. Valley RAT almacena complementos cifrados dentro del registro e inyecta estos en procesos legítimos del sistema, permitiendo el robo continuo de credenciales y espionaje sin necesidad de reinfección. La atribución de CloudSEK al APT Silver Fox se basa en elementos comunes de infraestructura - favicons, patrones de dominios y similitudes de código - lo que subraya la importancia de la inteligencia de amenazas precisa.

Mientras las organizaciones indias enfrentan esta nueva ola de ciberdelincuencia en temporada de impuestos, los expertos instan a la vigilancia: monitorear cambios sospechosos en el registro, buscar señales de inyección de procesos y rastrear la actividad de comando y control en múltiples niveles. La lección es clara: cuando incluso las notificaciones fiscales de confianza pueden ser convertidas en armas, el escepticismo es tu primera línea de defensa.

En la era del engaño digital, ni siquiera el membrete del recaudador de impuestos es garantía de seguridad. A medida que los grupos de ciberespionaje evolucionan, también deben hacerlo nuestras defensas - afianzadas en la inteligencia, no solo en el instinto.

WIKICROOK

  • APT (Amenaza Persistente Avanzada): Una Amenaza Persistente Avanzada (APT) es un ciberataque dirigido y de larga duración por grupos expertos, a menudo respaldados por estados, que buscan robar datos o interrumpir operaciones.
  • Phishing: El phishing es un delito informático en el que los atacantes envían mensajes falsos para engañar a los usuarios y que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Secuestro de DLL: El secuestro de DLL es un ataque en el que una aplicación carga un archivo DLL falso, permitiendo a los atacantes ejecutar código malicioso en el sistema.
  • Troyano de Acceso Remoto (RAT): Un Troyano de Acceso Remoto (RAT) es un malware que permite a los atacantes controlar en secreto la computadora de la víctima desde cualquier lugar, facilitando el robo y el espionaje.
  • Persistencia: La persistencia implica técnicas utilizadas por el malware para sobrevivir a reinicios y permanecer oculto en los sistemas, a menudo imitando procesos o actualizaciones legítimas.
Cyber Attacks Phishing Malware
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news