Netcrook Logo
👤 WHITEHAWK
🗓️ 01 Dec 2025   🌍 Asia

Tinta Invisible: Cómo la “Operación Ladrón de Hanói” Reescribió las Reglas del Ciberespionaje

Una nueva ola de ciberataques está explotando “currículums” disfrazados para infiltrarse en el sector de TI de Vietnam, combinando engaños técnicos con ingeniería social en un robo digital de alto riesgo.

Datos Rápidos

  • Los atacantes usaron currículums y solicitudes de empleo falsos para vulnerar departamentos de TI en Vietnam.
  • El malware estaba oculto en archivos que parecían imágenes o documentos inofensivos.
  • La carga final, apodada LOTUSHARVEST, roba contraseñas e historiales de navegadores.
  • La evidencia sugiere vínculos con actores de amenazas chinos, pero no se ha confirmado patrocinio estatal.
  • La operación se basó en archivos “pseudo-políglotas” poco comunes y trucos clásicos de Windows.

El Arte del Engaño Digital

Imagina abrir una prometedora solicitud de empleo, solo para descubrir que eres el blanco involuntario de un carterista digital. Esa es la inquietante realidad detrás de la “Operación Ladrón de Hanói”, una campaña que ha convertido el humilde currículum en un arma. En lugar de una oportunidad laboral, los reclutadores y profesionales de recursos humanos de TI en Vietnam recibieron una trampa meticulosamente diseñada - una que difuminaba la línea entre autenticidad y ataque.

Pseudo-Políglotas: Ocultos a Simple Vista

La genialidad de los atacantes residía en su uso de archivos “pseudo-políglotas” - documentos que se hacen pasar por una cosa mientras funcionan como otra. El archivo ZIP malicioso, inocentemente llamado “Le-Xuan-Son_CV.zip”, contenía lo que parecía un currículum en PDF y una imagen. En realidad, la imagen ocultaba un script, y el acceso directo al PDF activaba comandos que liberaban el malware silenciosamente.

Este truco se apoyaba en una característica poco conocida del ftp.exe de Windows, que, con el estímulo adecuado, podía ser convencido de ejecutar comandos en vez de solo transferir archivos. Los atacantes aprovecharon esta peculiaridad, junto con ingeniosos cambios de nombre de archivos y currículums señuelo, para pasar desapercibidos tanto ante la sospecha humana como ante controles de seguridad básicos.

Del Engaño al Robo de Datos

Una vez dentro, la cadena de infección se desplegaba en tres actos: el archivo de acceso directo lanzaba el ataque, la carga poliglota disfrazada de imagen ejecutaba un script por lotes oculto, y finalmente, se instalaba una DLL maliciosa llamada LOTUSHARVEST. Este implante final era un ladrón digital: revisaba silenciosamente historiales de navegadores y bóvedas de contraseñas, apuntando a Google Chrome y Microsoft Edge, y enviaba el botín a un servidor remoto.

LOTUSHARVEST no era solo un ladrón simple. Venía armado con trucos para evadir el análisis - detectando si estaba siendo observado en un entorno virtual, simulando errores para despistar a los investigadores, y usando las propias herramientas de Windows en su contra. La destreza técnica aquí recuerda a ataques pasados, como la campaña “GoldenSpy” de 2023 en China y numerosos incidentes donde los atacantes usaron currículums falsos para atacar equipos de recursos humanos en todo el mundo.

¿Quién Sostiene la Pluma?

Si bien las huellas digitales apuntan a actores de amenazas chinos - gracias a coincidencias con campañas previas enfocadas en Vietnam y el uso de técnicas similares de generación de dominios - los investigadores se abstienen de confirmar una implicación directa del gobierno. Las características únicas del malware lo distinguen de herramientas chinas más conocidas como PlugX, lo que sugiere o bien un grupo nuevo o una táctica fresca en una escaramuza cibernética en curso.

Esta operación es un recordatorio contundente de cómo la ingeniería social y el engaño técnico pueden converger, especialmente en sectores donde la confianza es moneda y la curiosidad, una vulnerabilidad.

A medida que los ciberdelincuentes perfeccionan su arte, las organizaciones deben mirar más allá de las defensas tradicionales. La era de los currículums armados ha llegado, y el próximo ataque puede estar a solo un clic de distancia.

WIKICROOK

  • Pseudo: En ciberseguridad, 'pseudo' se refiere a generadores de números pseudoaleatorios - algoritmos que crean números que parecen aleatorios, cruciales para el cifrado y la seguridad.
  • DLL Sideloading: El DLL sideloading ocurre cuando los atacantes engañan a programas de confianza para que carguen archivos auxiliares maliciosos (DLLs) en lugar de los legítimos, permitiendo ataques ocultos.
  • Spear: El spear phishing es un ciberataque dirigido que utiliza correos electrónicos personalizados para engañar a individuos u organizaciones específicas y obtener información sensible.
  • Batch Script: Un batch script es un archivo de texto con comandos de Windows que automatizan tareas. Puede usarse para eficiencia o, de forma maliciosa, para instalar malware.
  • Anti: 'Anti' se refiere a métodos usados por el malware para evitar la detección o el análisis por parte de herramientas de seguridad e investigadores, haciendo que las amenazas sean más difíciles de estudiar o detener.
Cyber Espionage Operation Hanoi Thief Fake Resumes
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news