Si no sabés por dónde podrían entrar, ya están adentro.
Storm-2561 propaga clientes VPN troyanos mediante envenenamiento SEO para robar credenciales
Microsoft ha revelado detalles de una campaña de robo de credenciales que emplea clientes de red privada virtual (VPN) falsos distribuidos mediante técnicas de manipulación de la optimización de motores de búsqueda (SEO).
“La campaña redirige a los usuarios que buscan software empresarial legítimo a archivos ZIP maliciosos en sitios web controlados por atacantes para desplegar troyanos firmados digitalmente que se hacen pasar por clientes VPN de confianza mientras recopilan credenciales VPN”, dijeron los equipos de Microsoft Threat Intelligence y Microsoft Defender Experts .
El fabricante de Windows, que detectó la actividad a mediados de enero de 2026, la ha atribuido a Storm-2561, un grupo de amenazas conocido por propagar malware mediante el envenenamiento de SEO y la suplantación de identidad de proveedores de software populares desde mayo de 2025.
Las campañas de este grupo de ciberdelincuentes fueron documentadas inicialmente por Cyjax, que puso de manifiesto el uso de la manipulación de SEO para redirigir a los usuarios que buscaban programas de software de empresas como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access) en Bing a sitios falsos y engañarlos para que descargaran instaladores MSI que implementaban el cargador malicioso Bumblebee .
