Black Cat orquesta campaña de malware mediante SEO Poisoning y compromete 278.000 sistemas
El grupo cibercriminal Black Cat está detrás de una campaña masiva de envenenamiento de motores de búsqueda (SEO poisoning) que ha logrado posicionar sitios fraudulentos en los primeros resultados de búsquedas populares de software, infectando cerca de 278.000 sistemas en China.
La operación fue documentada por CNCERT/CC y la empresa de seguridad ThreatBook, quienes advierten sobre una infraestructura diseñada para mantener visibilidad sostenida en búsquedas orgánicas y maximizar infecciones.
Cómo funciona la campaña de SEO poisoning
La campaña se apoya en páginas falsas cuidadosamente optimizadas para consultas de alto volumen relacionadas con software ampliamente utilizado en China.
Entre los señuelos más frecuentes se encuentran búsquedas de navegadores, editores de texto y herramientas móviles populares.
Para reforzar la legitimidad aparente, los atacantes utilizan dominios con prefijo “cn”, como:
-
cn-notepadplusplus[.]com -
Variantes similares que imitan portales oficiales
Estos sitios aparecen entre los primeros resultados, especialmente en Bing, y redirigen a los usuarios a descargas aparentemente legítimas.
Detalles técnicos de la infección
Una vez que la víctima descarga el archivo, la cadena de ataque se desarrolla de la siguiente forma:
-
Descarga de archivos ZIP maliciosos
-
Ejecución de instaladores trojanizados
-
Uso de side-loading de DLL para evadir controles de seguridad
-
Inyección de un backdoor Trojan persistente
El malware establece comunicación con servidores de comando y control, como sbido[.]com:2869, desde donde recibe instrucciones adicionales.
Capacidades del malware
El backdoor desplegado permite a los atacantes:
-
Robar datos almacenados en navegadores web
-
Registrar pulsaciones de teclado (keylogging)
-
Extraer contenido del portapapeles
-
Habilitar control remoto del sistema comprometido
Las investigaciones identificaron un pico de 62.167 infecciones diarias entre julio y noviembre de 2025, lo que confirma el carácter industrial de la operación.
Contexto del grupo Black Cat
Activo al menos desde 2022, Black Cat ha empleado campañas similares en el pasado. En 2023, el grupo estuvo vinculado al robo de aproximadamente USD 160.000 en criptomonedas mediante sitios falsos relacionados con plataformas financieras.
En esta nueva fase, el foco se desplaza hacia software de uso cotidiano en entornos chinos, ampliando el impacto potencial tanto en usuarios domésticos como en sistemas empresariales.
Aunque no existe una atribución directa a operaciones de ransomware, el uso compartido del nombre BlackCat incrementa la preocupación por una posible escalada hacia ataques más destructivos, aprovechando credenciales y accesos robados.
Impacto y riesgos operativos
La campaña compromete cientos de miles de hosts, priorizando usuarios chinos mediante:
-
Geolocalización en dominios
-
Manipulación de resultados de búsqueda locales
Esto facilita:
-
Robo masivo de información sensible
-
Persistencia prolongada en endpoints
-
Posible movimiento lateral en redes corporativas
No se han observado exploits técnicos avanzados más allá del phishing por descargas, pero la optimización SEO garantiza una exposición constante a nuevas víctimas.
Medidas de mitigación recomendadas
Para usuarios finales
-
Descargar software exclusivamente desde sitios oficiales
-
Desconfiar de resultados patrocinados u orgánicos no verificados
-
Utilizar antivirus con detección basada en comportamiento
Para organizaciones
-
Monitorear tráfico hacia dominios sospechosos
-
Implementar filtros DNS y bloqueo de dominios maliciosos
-
Educar a usuarios sobre riesgos de SEO poisoning
-
Escanear endpoints en busca de backdoors persistentes
-
Revisar logs de descargas para identificar infecciones activas
Conclusión
Esta campaña demuestra que el SEO poisoning sigue siendo una técnica altamente efectiva cuando se combina con malware modular y objetivos bien definidos. Para organizaciones y usuarios en regiones afectadas, la prevención depende menos de exploits complejos y más de higiene digital, control de descargas y monitoreo continuo.