Recientemente, investigadores han descubierto una serie de campañas de malware en múltiples etapas que utilizan procesos legítimos del sistema para evitar ser detectadas. Este hallazgo, compartido por Check Point Research, pone de manifiesto la creciente sofisticación de las ciberamenazas. En su Índice Global de Amenazas correspondiente a abril de 2025, la investigación identifica a FakeUpdates como el malware más común, afectando al 6% de las empresas a nivel global. Le siguen Remcos y AgentTesla, herramientas que han evolucionado para integrarse en cadenas de ataque más complejas.
Uno de los hallazgos más preocupantes de este mes es la aparición de una campaña de malware que infecta sistemas mediante AgentTesla, Remcos y Xloader, una evolución de FormBook. El ataque inicia con correos electrónicos de phishing que simulan confirmaciones de pedidos, llevando a las víctimas a abrir un archivo malicioso en formato 7-Zip. Este archivo contiene un script JScript codificado que lanza un script PowerShell también codificado, el cual ejecuta un archivo de segunda etapa en base a .NET o AutoIt. Este proceso culmina en la inyección del malware en procesos legítimos de Windows, como RegAsm.exe o RegSvcs.exe, aumentando su capacidad de evadir la detección.
Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software, ha señalado que esta campaña ejemplifica la complejidad creciente de las ciberamenazas. Según Finkelstein, los atacantes utilizan una combinación de scripts codificados y procesos legítimos para permanecer indetectables. El malware que antes considerábamos de bajo nivel se ha convertido en una herramienta en operaciones más avanzadas.
En España, FakeUpdates, también conocido como SocGholish, ha sido el malware más dañino, afectando al 11% de las empresas. A este le siguen Androxgh0st, un botnet que explota vulnerabilidades en plataformas como PHPUnit y Laravel, y Remcos, un troyano de acceso remoto que se distribuye a través de documentos de Microsoft Office maliciosos.
En el ámbito móvil, Anubis ha sido el malware más prevalente, seguido de AhMyth y Hydra. Anubis, un troyano bancario, ha evolucionado e incorpora funciones avanzadas, como la elusión de la autenticación multifactor y el keylogging.
Los grupos de ransomware también han aumentado su actividad, con Akira siendo el más activo en abril, responsable del 11% de los ataques registrados. SatanLock y Qilin, dos operaciones emergentes, siguen de cerca con un 10% cada una.
En cuanto a los sectores más atacados en España durante abril, destacan Gobierno/Militar, Bienes y servicios de consumo, y Telecomunicaciones. Estos datos reflejan un enfoque continuo en aquellos sectores con defensas más débiles, así como el uso creciente de técnicas sigilosas y complejas por parte de los ciberdelincuentes.
El panorama de ciberseguridad en abril de 2025 revela una evolución alarmante en las tácticas de ataque, con un mayor uso de malware en múltiples etapas y la integración de herramientas comerciales en operaciones avanzadas. Ante esta realidad, las empresas deben adoptar estrategias de seguridad proactivas y multilaterales para mitigar estos riesgos en constante evolución.
