🎭 PhantomCaptcha: el falso Zoom que secuestra datos reales

¿Te imaginas recibir una invitación “oficial” a una reunión de Zoom… que en realidad abre la puerta a un ataque completo contra tu red?
Eso fue justo lo que pasó en una nueva campaña de phishing dirigida a organizaciones humanitarias que ayudan a Ucrania, en la que los atacantes mezclaron PDF maliciosos, una página falsa de Zoom y un CAPTCHA trampa.

🎯 ¿Qué pasó exactamente?

El 8 de octubre de 2025 se detectó una operación llamada PhantomCaptcha, una campaña de spear-phishing altamente dirigida (ataques personalizados contra personas específicas).
Las víctimas: personal de organizaciones como la Cruz Roja Internacional, UNICEF, el Consejo Noruego para los Refugiados y otras instituciones vinculadas al apoyo humanitario en Ucrania.

Los correos parecían provenir de la Oficina del Presidente de Ucrania, e incluían un PDF aparentemente inocente con la invitación a una reunión de Zoom.
Pero al abrirlo, el usuario era redirigido a un sitio falso con dominio zoomconference.app, diseñado para imitar a la perfección la interfaz oficial de Zoom.

Ahí comenzaba el truco: la página mostraba una verificación CAPTCHA falsa tipo ClickFix, que en realidad ejecutaba comandos maliciosos en segundo plano.

💻 Cómo se ejecuta el ataque

1. Correo con PDF falso: parece legítimo y usa lenguaje institucional.

2. Redirección al sitio falso de Zoom: el dominio imita al original.

3. CAPTCHA falso: al hacer clic, el navegador establece una conexión WebSocket directa con el servidor del atacante.

4. Control remoto total: desde ahí se despliega un troyano de acceso remoto (RAT) que permite ejecutar comandos y extraer información del sistema.

Además, los investigadores descubrieron que los atacantes también desplegaron una versión móvil del ataque, con apps Android falsas capaces de obtener ubicación, contactos, y archivos multimedia del dispositivo comprometido.

⏱️ Precisión quirúrgica

Aunque la campaña fue preparada durante seis meses, la infraestructura maliciosa solo estuvo activa un día.
Eso demuestra una planificación meticulosa y un intento deliberado por evadir detección y desaparecer antes de que los sistemas de ciberinteligencia pudieran reaccionar.

🧠 Lo que puedes aprender si trabajas en TI

PhantomCaptcha no es solo un ataque a ONG; es un manual actualizado de ingeniería social moderna.
Combina elementos que cualquiera de nosotros podría encontrar en su día laboral:

• Correos con invitaciones de Zoom o Teams.

• Archivos PDF con macros o enlaces sospechosos.

• CAPTCHAs o formularios “verificadores” que parecen reales.

Como técnico, programador o administrador, esto te deja varias lecciones aplicables:

1. Verifica dominios siempre.
   Zoom solo usa zoom.us o subdominios certificados.

2. Desconfía de PDFs con enlaces externos o macros.

3. Evita abrir invitaciones desde correos no verificados.
   Si el evento es real, debería existir también en tu calendario corporativo.

4. Revisa los permisos de apps móviles (especialmente si provienen de fuentes externas).

5. Capacita a tus usuarios.
   Un solo clic en una ONG puede ser tan peligroso como en una empresa privada.

🚨 En resumen

PhantomCaptcha no buscaba dinero, sino información y acceso.
Y lo logró usando herramientas que todos reconocemos: Zoom, PDFs, y CAPTCHA.
El mensaje para los profesionales de TI es claro: los atacantes ya no se esconden detrás de malware complejo, sino detrás de nuestras rutinas diarias.