Engaño en las búsquedas: Cómo hackers chinos están secuestrando Google para propagar malware falso de Microsoft Teams

Imagina esto: un empleado de habla china en una empresa internacional necesita Microsoft Teams. Busca en Google “Teams download”, pero el primer resultado no es lo que parece. Con un solo clic, ha liberado una herramienta de espionaje sigilosa en la red corporativa. Tras bambalinas, un grupo de amenazas conocido como Silver Fox orquesta este engaño de alto nivel, utilizando manipulación astuta de motores de búsqueda y desvíos lingüísticos para mantenerse un paso adelante de los investigadores.

Detrás de la búsqueda: Cómo funciona el ataque

Silver Fox no es nuevo en el mundo del engaño digital. El grupo ya ha utilizado la optimización de motores de búsqueda (SEO) para propagar versiones troyanizadas de aplicaciones populares como Telegram y Chrome. ¿Su último plan? Suplantar Microsoft Teams a través de un sitio falso convincente - teamscn[.]com - diseñado para engañar a usuarios de habla china. El sitio, registrado en marzo de 2025, imita la imagen de marca de Microsoft y atrae a las víctimas con la promesa de descargas legítimas.

Pero el verdadero peligro comienza tras la descarga. El instalador, disfrazado como “MSTчamsSetup.zip” (nota el carácter cirílico engañoso), contiene un ejecutable malicioso. Una vez lanzado, el malware comprueba inmediatamente la presencia de Qihoo 360 Total Security - un antivirus chino muy popular - lo que sugiere que los atacantes conocen a fondo las defensas de sus objetivos.

Para evadir la seguridad, el malware desactiva Windows Defender añadiendo reglas de exclusión amplias para varias unidades. Luego, carga una DLL maliciosa en el proceso legítimo de Windows rundll32.exe, utilizando una técnica llamada Ejecución por Proxy Binario para ocultar su actividad. La máquina infectada se conecta silenciosamente a un servidor de comando y control (Ntpckj[.]com), esperando nuevas instrucciones mientras permanece invisible para la mayoría de las herramientas de seguridad.

Espejismos y cortinas de humo: Falsas pistas y atribución

Silver Fox va un paso más allá para enturbiar las aguas. El instalador y partes de la interfaz de usuario están plagados de idioma ruso y escritura cirílica - una distracción deliberada para despistar a los investigadores. Sin embargo, el análisis forense de la infraestructura, la reutilización de código y los patrones de ataque apuntan directamente a China.

¿Quién está en riesgo y cómo defenderse?

Las organizaciones con personal de habla china, especialmente aquellas con operaciones en China, están en el punto de mira. Los expertos instan a las empresas a habilitar registros detallados de PowerShell y procesos, restringir las instalaciones de software a catálogos de confianza y monitorear la actividad de red sospechosa - especialmente conexiones a dominios maliciosos conocidos.

Para las empresas multinacionales, la lección es clara: las estrategias de seguridad deben adaptarse a las amenazas y lenguas locales. La campaña de Silver Fox es un recordatorio contundente de que los hackers más peligrosos del mundo ahora optimizan para motores de búsqueda - y para los idiomas nativos de sus víctimas.

WIKICROOK: Glosario

Envenenamiento SEO

La manipulación de los rankings de motores de búsqueda para promocionar sitios web maliciosos o fraudulentos, haciéndolos parecer legítimos ante usuarios desprevenidos.

Typosquatting

La práctica de registrar dominios engañosos que imitan marcas legítimas, a menudo intercambiando o agregando caracteres, para engañar a los usuarios.

Ejecución por Proxy Binario

Técnica en la que el malware se ejecuta bajo la apariencia de un proceso confiable de Windows (como rundll32.exe) para evadir la detección de las herramientas de seguridad.

ValleyRAT

Un troyano de acceso remoto (RAT) utilizado para tomar control de sistemas infectados, robar datos y ejecutar otras actividades maliciosas.

Servidor de Comando y Control (C2)

Un servidor remoto utilizado por los atacantes para comunicarse y controlar el malware desplegado en las máquinas de las víctimas.