Robo de Sitios Web Gubernamentales: Un Canal de Ataque Peligroso

Publicado el

Introducción

Recientemente, más de 20 sitios web del gobierno de Brasil han sido secuestrados y transformados en canales de entrega de malware, en el marco de una campaña activa conocida como PhantomEnigma. Esta situación fue revelada por ANY.RUN, un proveedor destacado de análisis interactivo de malware y soluciones de inteligencia de amenazas.

Descripción de la Campaña

La investigación ha puesto de manifiesto un comportamiento de backdoor previamente no documentado, así como relaciones de infraestructura ocultas y múltiples frentes de ataque. La campaña no solo compromete a las agencias públicas, sino que también pone en riesgo a los bancos. Los investigadores de ANY.RUN lograron conectar cientos de sesiones de sandbox aparentemente no relacionadas, revelando así el alcance más amplio de la operación.

Estrategia de Engaño

El ataque comenzó con documentos falsos de temática policial presentados como notificaciones oficiales, tales como "Ofício Polícia Civil" o "Procuração Digital". Algunos de estos documentos incluían QR codes, mientras que otros contenían enlaces que aparentaban ser recursos gubernamentales legítimos. En varios casos, los correos electrónicos fueron enviados desde buzones comprometidos y lograron pasar las verificaciones de SPF, DKIM y DMARC, lo que les confería una apariencia de legitimidad superior a la de correos de phishing comunes.

Los usuarios afectados eran dirigidos a través de hosts .gov.br comprometidos o dominios falsificados, antes de alcanzar el instalador malicioso. Los sistemas gubernamentales no eran necesariamente los objetivos finales, sino que se utilizaban como infraestructura de entrega confiable.

Hosts Gubernamentales Comprometidos

Durante la investigación, se identificaron varios sistemas comprometidos, entre ellos: - timon.ma.gov.br - loginam.sesp.es.gov.br (seguridad pública estatal) - aplicacao.cbm.mt.gov.br (cuerpo de bomberos) - prodoc.ap.gov.br

Estos portales legítimos fueron utilizados en diferentes etapas de la cadena de entrega, y algunos de ellos aparecieron en más de un frente de ataque de PhantomEnigma, facilitando la conexión de actividades que inicialmente parecían no relacionadas.

Evolución de PhantomEnigma

Dos Caminos hacia una Detección Más Difícil

La evolución de PhantomEnigma ha mostrado un cambio en su actividad, que pasó de centrarse en el sector bancario en 2025 a abusar de sitios web y cuentas de correo electrónico gubernamentales comprometidas en 2026. Esta transición ha permitido a la campaña presentarse como una ruta más confiable para las víctimas sin necesidad de confirmar un nuevo grupo objetivo.

El malware también ha evolucionado, pasando de ser un banco de malware basado en extensiones de navegador a un backdoor modular en Inno/Node.js capaz de ejecutar JavaScript y entregar cargas adicionales. Esta combinación crea una brecha de visibilidad significativa para los equipos de seguridad.

Cadena de Ataque de PhantomEnigma

Una vez que la víctima interactuaba con el engaño, la campaña seguía una cadena de infección de múltiples etapas: 1. Correo electrónico de phishing: Un gancho temático policial o un documento oficial falso llega a la víctima. 2. Infraestructura confiable: El enlace redirige a través de un host gubernamental comprometido o un dominio similar a uno policial. 3. Instalador malicioso: Un instalador tipo Inno Setup, MSI, u otro inicia la infección. 4. Aplicación Electron parcheada: Software legítimo carga un backdoor malicioso. 5. Activación del backdoor: El malware recoge información del sistema, establece persistencia y se conecta a infraestructura C2 rotativa. 6. Entrega de segunda etapa: El backdoor ejecuta JavaScript o entrega malware adicional, lo que puede llevar a compromisos de credenciales, acceso no autorizado, fraude y exposición de datos.

Conclusión

PhantomEnigma es un claro ejemplo de cómo los atacantes pueden convertir infraestructuras de confianza en herramientas de ataque. La situación representa una seria amenaza para bancos y agencias públicas, que deben reforzar sus medidas de seguridad y vigilancia para protegerse de este tipo de campañas.

Fuente

Ver noticia original