La banda de ciberdelincuentes Black Cat ha sido atribuida a una campaña de
envenenamiento de optimización de motores de búsqueda (SEO) que emplea sitios
fraudulentos que anuncian software popular para engañar a los usuarios y que
descarguen una puerta trasera capaz de robar datos confidenciales.
Según un
informe publicado
por el CERT de China (CNCERT/CC) y Beijing Weibu Online (también conocido como
ThreatBook), la actividad está diseñada para posicionar estratégicamente sitios web
falsos en los primeros resultados de búsqueda en motores de búsqueda como
Microsoft Bing, específicamente dirigidos a usuarios que buscan programas como
Google Chrome, Notepad++, QQ International e iTools.
«Tras visitar estas páginas de phishing de alto rango, los usuarios son
atraídos por páginas de descarga cuidadosamente diseñadas que intentan
descargar paquetes de instalación de software que contienen programas
maliciosos», declararon CNCERT/CC y ThreatBook.
«Una vez instalado, el programa implanta un troyano de puerta trasera sin
el conocimiento del usuario, lo que provoca el robo de datos confidenciales
del equipo host por parte de los atacantes».
En la última serie de ataques, los usuarios que buscan Notepad++ reciben
enlaces a un sitio web de phishing convincente:
«cn-notepadplusplus[.]com», «cn-obsidian[.]com»,
«cn-winscp[.]com» y
«notepadplusplus[.]cn», «http://www.notepadplus[.]com.cn», etc.
La inclusión de «cn» en los nombres de dominio indica que los actores
de amenazas se dirigen específicamente a usuarios chinos que podrían estar
buscando dichas herramientas a través de motores de búsqueda.
Si un usuario desprevenido hace clic en el botón de descarga del sitio web
falso, se le redirige a otra URL que imita a GitHub
(«github.zh-cns[.]top»), desde donde se puede descargar un archivo ZIP.
Dentro del archivo ZIP hay un instalador que crea un acceso directo en el
escritorio del usuario. Este acceso directo actúa como punto de entrada para
la instalación de una DLL maliciosa que, a su vez, activa la puerta trasera.
El malware establece contacto con un servidor remoto
(«sbido[.]com:2869»), lo que le permite robar datos del navegador web,
registrar pulsaciones de teclas, extraer el contenido del portapapeles y otra
información valiosa del host comprometido.
Se estima que Black Cat lleva activo al menos desde 2022, orquestando una
serie de ataques diseñados para el robo de datos y el control remoto mediante
malware distribuido mediante campañas de envenenamiento SEO. En 2023, se dice
que el grupo robó al menos 160.000 dólares en criptomonedas haciéndose pasar
por AICoin, una popular plataforma de intercambio de divisas virtuales.
CNCERT/CC y ThreatBook señalaron que el grupo de ciberdelincuentes Black Cat
ha comprometido alrededor de 277.800 hosts en China entre el 7 y el 20 de
2025, con el mayor número diario de máquinas comprometidas en el país,
alcanzando un máximo de 62.167.
Para mitigar el riesgo, se recomienda a los usuarios abstenerse de hacer
clic en enlaces de fuentes desconocidas y limitarse a fuentes confiables
para descargar software.
Fuente:
THN