Los cazadores de amenazas han expuesto una campaña novedosa que utiliza técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para dirigirse a dispositivos móviles de empleados y simplificar el fraude de paga.
La actividad, detectada por primera vez por Reliaquest en mayo de 2025 dirigida a un cliente sin nombre en el sector manufacturero, se caracteriza por el uso de páginas de inicio de sesión falsas para consentir al portal de paga de los empleados y redirigir los cheques de cuota en cuentas bajo el control del actor de la amenaza.
«La infraestructura del atacante utilizó enrutadores de oficina en el hogar comprometidos y redes móviles para embozar su tráfico, esquivar la detección y advenir las medidas de seguridad tradicionales», dijo la compañía de seguridad cibernética en un prospección publicado la semana pasada.
«El adversario se dirigió específicamente a los dispositivos móviles de los empleados con un sitio web impostor que se hace advenir por la página de inicio de sesión de la ordenamiento. Armado con credenciales robadas, el adversario obtuvo paso al portal de paga de la ordenamiento, cambió la información de depósito directo y redirigió los cheques de cuota de los empleados en sus propias cuentas».
Si acertadamente los ataques no se han atribuido a un género de piratería específico, Reliaquest dijo que es parte de una campaña más amplia y continua adecuado a dos incidentes similares que investigó a fines de 2024.
Todo comienza cuando un empleado rastreo el portal de paga de su empresa en los motores de búsqueda como Google, con sitios web mirados engañosos que aparecen en la parte superior de los resultados utilizando enlaces patrocinados. Aquellos que terminan haciendo clic en los enlaces falsos conducen a un sitio de WordPress que redirige a una página de phishing que imita un portal de inicio de sesión de Microsoft cuando se lo reconocimiento desde un dispositivo móvil.
Las credenciales ingresadas en la página de destino falsa se exfiltran seguidamente a un sitio web controlado por el atacante, al tiempo que establece una conexión WebSocket de dos vías para alertar al actor de amenaza de las contraseñas robadas utilizando una API de notificaciones push impulsadas por Pusher.
Esto les da a los atacantes la oportunidad de reutilizar las credenciales lo antaño posible antaño de que se cambien y obtengan paso no acreditado al sistema de paga.
Adicionalmente de eso, la orientación de dispositivos móviles de los empleados ofrece dos ventajas, ya que carecen de medidas de seguridad de punto empresarial que generalmente estén disponibles en las computadoras de escritorio y se conectan fuera de la red corporativa, reduciendo efectivamente la visibilidad y obstaculizando los esfuerzos de investigación.
«Al atacar dispositivos móviles sin protección que carecen de soluciones de seguridad y registro, esta táctica no solo evade la detección sino que además interrumpe los esfuerzos para analizar el sitio web de phishing», dijo Reliaquest. «Esto evita que los equipos de seguridad escaneen el sitio y lo agregen a los indicadores de alimentos de amenaza de compromiso (COI), lo que complica aún más los esfuerzos de mitigación».
En un intento adicional de evitar la detección, se ha incompatible que los intentos de inicio de sesión ladino se originan en direcciones IP residenciales asociadas con enrutadores de la oficina en el hogar, incluidas las de marcas como Asus y Pakedge.
Esto indica que los actores de amenaza están explotando debilidades como defectos de seguridad, credenciales predeterminadas u otras configuraciones erróneas a menudo que afectan a dichos dispositivos de red para divulgar ataques de fuerza bruta. Los enrutadores comprometidos se infectan con malware que los alistan en botNets proxy, que finalmente se alquilan a los cibercriminales.
«Cuando los atacantes usan redes proxy, especialmente las vinculadas a las direcciones IP residenciales o móviles, se vuelven mucho más difíciles de detectar e investigar las organizaciones», dijo Reliaquest. «A diferencia de las VPN, que a menudo se marcan porque sus direcciones IP han sido abusadas antaño, las direcciones IP residenciales o móviles permiten a los atacantes esfumarse bajo el radar y evitar ser clasificados como maliciosos».
«Adicionalmente, las redes proxy permiten a los atacantes hacer que su tráfico parezca que se origina en la misma ubicación geográfica que la ordenamiento objetivo, evitando las medidas de seguridad diseñadas para marcar los inicios de ubicaciones inusuales o sospechosas».
La divulgación se produce cuando Hunt.io detalló una campaña de phishing que emplea una página web falsa del servicio de archivos compartidos de Adobe para robar las credenciales de inicio de sesión de Microsoft Outlook con el pretexto de permitir el paso a los archivos supuestamente compartidos por un contacto. Las páginas, según la empresa, se desarrollan utilizando el kit de phishing W3LL.
Asimismo coincide con el descubrimiento de un nuevo kit de phishing con nombre en código Cogui que se está utilizando para atacar activamente a las organizaciones japonesas al hacerse advenir por marcas de consumidores y finanzas como Amazon, PayPay, MyJCB, Apple, Oriico y Rakuten. Se han enviado hasta 580 millones de correos electrónicos entre enero y abril de 2025 como parte de las campañas que usan el kit.
«Cogui es un kit sofisticado que emplea técnicas de esparcimiento avanzadilla, que incluyen geofencing, esgrima de encabezados y huellas dactilares para evitar la detección de sistemas de navegación automatizados y cajas de arena», dijo la firma de seguridad de Enterprise Proofpoint en un prospección publicado este mes. «El objetivo de las campañas es robar nombres de legatario, contraseñas y datos de cuota».
Los correos electrónicos de phishing observados en los ataques incluyen enlaces que conducen a sitios web de credenciales de phishing. Dicho esto, es sobresaliente que las campañas de Cogui no incluyan capacidades para resumir códigos de autenticación multifactor (MFA).
Se dice que Cogui fue utilizado desde al menos octubre de 2024, y se cree que comparte algunas similitudes con otro conocido kit de herramientas de phishing con el nombre de Darcula, lo que sugiere que el primero podría ser parte del mismo ecosistema de Phaas chino denominado Tríada Smithing Smithing que además incluye a Lucid y Lightthouse.
Dicho esto, un aspecto crucial que separa a Darcula de Cogui es que el primero se centra más en los dispositivos móviles y el amordazos, y tiene como objetivo robar detalles de la maleable de crédito.
«Darcula se está volviendo más accesible, tanto en términos de costo como de disponibilidad, por lo que podría representar una amenaza significativa en el futuro», dijo ProDaft a The Hacker News en un comunicado. «Por otro flanco, Lucid continúa permaneciendo bajo el radar. Sigue siendo difícil identificar kits de phishing solo mirando mensajes SMS o patrones de URL, ya que a menudo usan servicios de entrega comunes».
Otro nuevo kit de strishing personalizable que ha surgido del panorama chino del delito cibernético es Panda Shop, que utiliza una red de canales de telegrama y bots interactivos para automatizar la prestación de servicios. Las páginas de phishing están diseñadas para imitar marcas populares y servicios gubernamentales para robar información personal. Los datos de la maleable de crédito interceptado se envían a las tiendas de cartas subterráneas y se venden a otros cibercriminales.
«En particular, los sindicatos cibercriminales chinos involucrados en el amordazos son descarados porque se sienten intocables», dijo ReseCurity. «Han enfatizado en sus comunicaciones que no les importan las agencias de aplicación de la ley de los Estados Unidos. Residiendo en China, disfrutan de completa autonomía de movimiento y participan en muchas actividades ilegales».
Resecurity, que identificó Panda Shop en marzo de 2025, dijo que el actor de amenaza opera un maniquí de crimen como servicio similar al de la tríada de amordazamiento, ofreciendo a los clientes la capacidad de distribuir mensajes de amordazos a través de Apple iMessage y Android RC utilizando cuentas de Apple y Gmail comprometidas compradas en gran parte.
Se cree que Panda Shop incluye a los miembros de la tríada de querido basado en las similitudes en los kits de phishing utilizados. Asimismo se ha observado que una pluralidad de actores de amenaza aprovechan el kit de amordazos para Google Wallet y Apple Pay Fraud.
«Los actores detrás de las campañas de amordazos están estrechamente relacionados con los involucrados en el fraude mercante y la actividad de lavado de patrimonio», dijo ReseCurity. «El amordazos es uno de los principales catalizadores detrás de las actividades de cardado, que proporciona cibercriminales con volúmenes sustanciales de datos comprometidos recopilados de las víctimas».
