Comprometen la infraestructura de eScan Antivirus para desplegar malware a nivel global

Atacantes desconocidos lograron infiltrarse en los servidores de actualización del software de seguridad, afectando tanto a usuarios corporativos como domésticos en una nueva operación de ataque a la cadena de suministro.

La infraestructura de actualización de eScan Antivirus, solución desarrollada por la firma india MicroWorld Technologies, ha sido el blanco de un ataque cibernético que permitió la distribución de actualizaciones maliciosas. Según reportes técnicos de investigadores de Morphisec, este compromiso facilitó la entrega de un downloader persistente y malware de múltiples etapas en sistemas de todo el mundo.

Michael Gorelik, investigador de Morphisec, señaló que "las actualizaciones maliciosas se distribuyeron a través de la infraestructura legítima de eScan, resultando en el despliegue de malware avanzado en puntos finales globales".

Respuesta inmediata ante el acceso no autorizado

MicroWorld Technologies confirmó haber detectado un acceso no autorizado a su infraestructura regional de servidores. Como medida de emergencia, la compañía aisló los servidores afectados, manteniéndolos fuera de línea durante más de ocho horas para contener la brecha.

En un comunicado emitido por la empresa, se detalló que la interrupción del servicio comenzó el 20 de enero de 2026, afectando a un subconjunto de clientes cuyos sistemas descargaron automáticamente actualizaciones desde un clúster específico durante ese periodo. "El incidente ha sido identificado y resuelto. Ya está disponible una remediación integral que aborda todos los escenarios observados", afirmó la compañía.

Alcance geográfico y técnico

Aunque eScan no especificó qué servidores regionales fueron vulnerados, análisis de telemetría realizados por Kaspersky revelaron que cientos de máquinas —pertenecientes tanto a individuos como a organizaciones— detectaron intentos de infección relacionados con este ataque. Las regiones más afectadas incluyen:

• India

• Bangladesh

• Sri Lanka

• Filipinas

Antecedentes y riesgos

Este incidente recuerda a vulnerabilidades previas analizadas por firmas como Avast, donde se señalaba que mecanismos de actualización que carecían de cifrado HTTPS o firmas digitales robustas eran susceptibles a ataques de tipo Adversary-in-the-Middle (AitM). En este caso particular, el acceso directo a los servidores de la infraestructura oficial eleva la gravedad, ya que el malware es servido desde una fuente que los sistemas consideran "de confianza" por defecto.

Las autoridades de ciberseguridad instan a los usuarios de eScan a verificar que sus sistemas hayan aplicado el parche de remediación lanzado por MicroWorld Technologies, el cual revierte los cambios introducidos por la actualización maliciosa y restablece la integridad del software de protección.