← Inicio

Hackers rusos trojanizan WebEx y Zoom para distribuir malware Starland RAT

1) El hecho

Un grupo de hackers vinculado al gobierno ruso está distribuyendo versiones adulteradas de los instaladores de WebEx y Zoom para infectar objetivos con Starland RAT (Remote Access Trojan). La campaña, identificada por investigadores de seguridad, utiliza páginas de descarga falsas que imitan con precisión los sitios oficiales de ambas plataformas de videoconferencia. Los instaladores trojanizados, una vez ejecutados, instalan el software legítimo junto con el malware en segundo plano, dificultando la detección por parte de la víctima. Starland RAT proporciona acceso remoto completo al dispositivo comprometido, incluyendo captura de pantalla, keylogging, robo de credenciales y exfiltración de archivos.

2) Contexto

No es la primera vez que actores rusos utilizan aplicaciones legítimas como señuelo para distribuir malware. La táctica de trojanizar instaladores — un "supply chain watering hole" indirecto — se ha vuelto cada vez más común entre grupos APT rusos como APT29 (Cozy Bear) y APT28 (Fancy Bear). WebEx y Zoom fueron elegidos por su amplia adopción corporativa, especialmente después de la pandemia de COVID-19, cuando el trabajo remoto consolidó estas herramientas como estándar en organizaciones gubernamentales y empresariales de todo el mundo. La elección es estratégica: ambas plataformas son utilizadas por los sectores de defensa, diplomacia, tecnología y finanzas.

3) Análisis

Esta campaña señala una evolución táctica significativa en la guerra cibernética patrocinada por estados. En lugar de explotar vulnerabilidades zero-day — que son costosas, de corta duración y cada vez más difíciles de obtener — los actores rusos están invirtiendo fuertemente en ingeniería social dirigida con instaladores adulterados. Este enfoque tiene menor costo y una tasa de éxito potencialmente mayor, ya que explota el eslabón más débil de la ciberseguridad: el factor humano. Starland RAT es particularmente peligroso por su capacidad de operar de forma sigilosa: mantiene persistencia en el sistema durante períodos prolongados y exfiltra datos lentamente para evitar activar alertas en soluciones EDR (Endpoint Detection and Response). Para las organizaciones que dependen de WebEx y Zoom para comunicaciones sensibles, el riesgo va más allá del malware: la confianza en el propio software de comunicación se pone en entredicho.

4) Qué observar

- Lista de organizaciones comprometidas que los investigadores podrían publicar en las próximas semanas - Reacción de Cisco (propietaria de WebEx) y Zoom Video Communications con medidas de verificación de descargas - Ampliación de la campaña a otras herramientas empresariales como Slack, Microsoft Teams y Google Meet - Recomendaciones de organismos de seguridad como CISA y NCSC sobre verificación de hash de instaladores

Fuente: BleepingComputer