Los investigadores han puesto de manifiesto una serie de sofisticadas campañas de malware en múltiples etapas que utilizan procesos legítimos del sistema para permanecer en las sombras. Esta revelación, presentada en el Índice Global de Amenazas de abril de 2025 por Check Point Research, pone de relieve la complejidad creciente de las ciberamenazas actuales.
El informe señala a FakeUpdates como el malware más común en el mundo, afectando a un 6% de las empresas. Otras herramientas como Remcos y AgentTesla también han evolucionado, integrándose en cadenas de ataque cada vez más sofisticadas. Un hallazgo inquietante es una campaña que combina AgentTesla, Remcos y Xloader, una versión avanzada de FormBook. Este ataque se inicia con correos electrónicos de phishing que simulan confirmaciones de pedidos, incitando a las víctimas a abrir un archivo malicioso de formato 7-Zip. Este archivo encierra un script JScript que activa un script PowerShell codificado en Base64, dando pie a la ejecución de un archivo adicional basado en .NET o AutoIt. La técnica finaliza con la inyección del malware en procesos legítimos de Windows, como RegAsm.exe y RegSvcs.exe, lo que incrementa significativamente su capacidad de evasión.
Los ciberdelincuentes han mostrado una capacidad inquietante para combinar scripts codificados y procesos legítimos en sus ataques. Tal como lo mencionó Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software, las tácticas han alcanzado un nuevo nivel de complejidad. Lo que antes se consideraba malware menor se está transformando en herramientas utilizadas en operaciones avanzadas.
En el contexto español, FakeUpdates ha tenido un impacto notable, afectando al 11% de las empresas. Le siguen Androxgh0st, un botnet que aprovecha vulnerabilidades en plataformas como PHPUnit y Laravel, y Remcos, un troyano de acceso remoto distribuido a través de documentos de Microsoft Office dañinos.
En el ámbito móvil, Anubis, un troyano bancario, ha sobresalido, incorporando capacidades avanzadas de evadir autenticaciones multifactor y registrando pulsaciones de teclado. La actividad de ransomware también ha estado en aumento, con el grupo Akira liderando en abril, responsable del 11% de los ataques.
Los sectores más vulnerables en España en el último mes han sido Gobierno y Militar, Bienes y Servicios de Consumo, y Telecomunicaciones. Estos datos subrayan un enfoque persistente en sectores con defensas más débiles, junto a un crecimiento en el uso de técnicas sigilosas y complejas por parte de los atacantes.
El panorama de ciberseguridad de abril de 2025 revela una evolución alarmante en las tácticas de los delincuentes, con un uso creciente de malware en múltiples etapas y la integración de herramientas comerciales en operaciones más avanzadas. Este escenario exige que las empresas adopten estrategias de seguridad proactivas y multicapa para enfrentar riesgos en constante evolución.
