Ejecutivos y responsables de TI se han convertido en objetivos de una campaña de phishing sofisticada que se ejecuta directamente en LinkedIn, fuera de las bandejas de entrada de correo electrónico tradicionales.
La firma de ciberseguridad ReliaQuest detectó este ataque, que combina ofertas de empleo falsas, proyectos aparentes y técnicas de infección avanzadas para comprometer objetivos de alto valor mediante un troyano de acceso remoto (RAT).
En lugar de usar métodos de estafa convencionales, la campaña aprovecha la credibilidad de LinkedIn. Los atacantes seleccionan cuidadosamente a víctimas con puestos ejecutivos o roles clave en tecnología y las contactan con propuestas atractivas de trabajo, colaboración o participación en proyectos.
El primer contacto no suscita sospechas porque imita prácticas habituales de reclutamiento y networking. El mensaje en LinkedIn incluye un enlace que supuestamente dirige a documentación relacionada con la oferta, como una hoja de ruta o un plan de proyecto.
Al hacer clic en ese enlace, la víctima descarga un archivo autoextraíble (SFX) de WinRAR diseñado para parecer legítimo tanto por su nombre como por los archivos iniciales que contiene.
La infección comienza cuando el usuario abre el archivo: este se descomprime automáticamente y extrae varios ficheros en la misma carpeta, reforzando la sensación de que son documentos profesionales auténticos.
Entre los archivos hay un supuesto lector de PDF que la víctima abre creyendo que accederá a un documento estándar. Ese lector es en realidad el vector de entrada del ataque.
Al ejecutarse, el lector malicioso carga una biblioteca dinámica (DLL) oculta en el paquete. Esta técnica de carga de DLL permite ejecutar código malicioso aprovechando procesos que el sistema considera confiables, lo que reduce la detección inmediata.
La DLL establece persistencia en el sistema añadiendo una entrada “Run” en el registro de Windows para ejecutarse al inicio y lanza un intérprete portátil de Python incluido en el paquete, evitando depender de software ya instalado.
Mediante ese intérprete, el atacante ejecuta una herramienta de hacking de código abierto codificada en Base64 y cargada directamente en la memoria, lo que minimiza la huella en disco y dificulta la detección por soluciones de seguridad tradicionales.
Una vez completada la infección, el malware se comunica con un servidor de comando y control, comportamiento habitual en los RAT que permite a los atacantes controlar el equipo, robar información o moverse lateralmente dentro de la red corporativa.
ReliaQuest advierte que esta campaña pone de manifiesto un problema creciente: los ataques ya no se limitan al correo electrónico. También se producen en redes sociales, motores de búsqueda y aplicaciones de mensajería, canales que muchas organizaciones aún no integran plenamente en sus estrategias de seguridad.
El riesgo aumenta porque LinkedIn se utiliza frecuentemente desde dispositivos corporativos y está vinculado a actividades laborales legítimas. Las redes profesionales brindan acceso directo a objetivos de alto valor, como ejecutivos y administradores de TI, lo que las vuelve especialmente atractivas para los ciberdelincuentes.
El hallazgo subraya la necesidad de ampliar las políticas de seguridad más allá del correo electrónico: incorporar monitoreo y formación sobre riesgos en redes sociales profesionales y extremar la precaución con enlaces y archivos compartidos, incluso cuando provienen de contactos que parecen confiables.
