Una nueva campaña de malware, identificada por Securonix con el nombre SERPENTINE#CLOUD, está utilizando subdominios de Cloudflare Tunnel para distribuir cargas maliciosas a través de archivos adjuntos en correos de phishing. Este ataque aprovecha servicios legítimos para disfrazar su actividad y dificultar su detección por parte de los equipos de ciberseguridad.
⚙️ Cómo funciona el ataque
El proceso comienza con correos electrónicos disfrazados de notificaciones de pagos o facturas. Estos contienen un enlace que descarga un archivo comprimido (ZIP) con un acceso directo de Windows (.lnk) que se presenta como un documento común. Al abrirlo, se desencadena una cadena de infección cuidadosamente orquestada.
El archivo .lnk descarga un segundo archivo desde un servidor WebDAV alojado en un subdominio de Cloudflare Tunnel. Este archivo es un Windows Script File (WSF) que se ejecuta en segundo plano usando cscript.exe, evitando así levantar sospechas.
Desde ahí, se ejecuta un script en batch (kiki.bat) que muestra un PDF señuelo, revisa si hay software antivirus activo, y descarga cargas útiles desarrolladas en Python. Estas son ejecutadas en memoria utilizando el cargador Donut, lo que permite la instalación de troyanos como AsyncRAT o Revenge RAT sin dejar rastro en el disco duro.
🛡️ Tácticas de evasión y persistencia
El uso de TryCloudflare (por ejemplo, *.trycloudflare.com) brinda a los atacantes varias ventajas: al utilizar un servicio legítimo, logran que las defensas basadas en URL o dominios no detecten la amenaza fácilmente. Además, su infraestructura efímera y cifrada complica aún más la visibilidad de red para los equipos defensivos.
Securonix también señaló que algunos scripts usados podrían haber sido escritos con ayuda de modelos de lenguaje, debido a la calidad y claridad de los comentarios en el código fuente.
🌍 Alcance y evolución
La campaña ha impactado a usuarios en Estados Unidos, Reino Unido, Alemania, y otros países de Europa y Asia. Aunque aún no se ha identificado a los actores detrás del ataque, el dominio del inglés sugiere una capacidad técnica internacional.
La técnica de acceso inicial ha evolucionado: antes usaban archivos de internet shortcut (.url), pero ahora se han desplazado hacia archivos .lnk que se hacen pasar por documentos PDF.
🎯 Otras campañas activas
Este hallazgo coincide con otras amenazas activas:
-
Shadow Vector: una campaña dirigida a usuarios en Colombia mediante archivos SVG maliciosos en correos que simulan notificaciones judiciales. Estos SVG ocultan cargas útiles dentro de texto codificado en Base64 y alojado en plataformas como Dropbox o Discord.
-
ClickFix: una técnica de ingeniería social en auge que aprovecha la costumbre del usuario de hacer clic en soluciones de problemas o verificaciones CAPTCHA. Este método ha ganado popularidad por su simplicidad y efectividad, desplazando incluso a los exploits tradicionales.
