La campaña de malware XRed tiene como objetivo a organizaciones multinacionales
10 de diciembre de 2025
Por Samantha Clarke, Hiwot Mendahun, Ankit Gupta y el equipo de investigación de amenazas de Mimecast
- Campaña de malware que se hace pasar por el Ministerio de Hacienda y el Departamento de Impuestos sobre la Renta de la India
- Campaña de bajo volumen y orientación estratégica, centrada principalmente en los sectores de los servicios financieros, los servicios profesionales y los servicios corporativos, dirigida a empresas del Reino Unido y de EE. UU. con sede en la India.
- Un script VBS descarga y ejecuta una carga maliciosa desde una infraestructura comprometida
- Los correos electrónicos proceden principalmente de ASN japoneses que utilizan clientes de correo electrónico obsoletos y servidores de correo no autenticados
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña de malware en curso que utiliza memorandos de oficina falsos en los que se suplantaba la identidad del Departamento de Impuestos sobre la Renta del Gobierno de la India. Las organizaciones afectadas son, en su mayoría, filiales indias con sede central en el Reino Unido o en Estados Unidos. El análisis revela que los autores de las amenazas muestran una selección sofisticada de objetivos, centrándose en empresas de tamaño medio a grande (normalmente con más de 1.000 empleados) de los sectores B2B, en particular los servicios financieros, los servicios profesionales y la administración empresarial.
En marcha desde octubre de 2025, esta campaña recurre a tácticas de ingeniería social diseñadas para aprovechar la urgencia que conlleva el cumplimiento de las obligaciones fiscales y las posibles sanciones. Los destinatarios reciben correos electrónicos que contienen enlaces para consultar las distintas infracciones fiscales que ha cometido la empresa.
Atributos clave del correo electrónico
- Infraestructura japonesa: Los correos electrónicos proceden de direcciones IP asociadas a números de sistemas autónomos japoneses, lo que sugiere que los sistemas han sido vulnerados o que se han tomado decisiones deliberadas en materia de infraestructura para eludir los controles de seguridad regionales.
- Clientes de correo electrónico antiguos: Las cabeceras de los mensajes revelan el uso de Foxmail y de versiones obsoletas de Microsoft Outlook (según indican los valores de X-Mailer), lo que podría ayudar a eludir los controles de seguridad modernos del correo electrónico, que se centran en los patrones de amenazas actuales.
- URL sin esquema: en ocasiones, los enlaces maliciosos aparecen sin los esquemas estándar de las URL (sin ", http://," o ", https://,"), lo que podría permitirles eludir los mecanismos básicos de filtrado de URL.
- Envío sin autenticación: los mensajes proceden de servidores de correo que no requieren autenticación, una característica que facilita la suplantación de identidad, pero que también ofrece oportunidades para su detección.
Una vez que el usuario hace clic en el enlace, se le redirige a la siguiente página, que imita las comunicaciones oficiales del Gobierno.
Estas páginas contienen texto tanto en hindi como en inglés y hacen referencia al artículo 271, apartado 1, letra c), de la Ley del Impuesto sobre la Renta, que se refiere a las sanciones por la ocultación de ingresos o la presentación de datos inexactos. El aviso exige la presentación de documentos en un plazo de 72 horas e incluye un botón « "» (Descargar documentos)" que actúa como vector de infección inicial.
Cadena de infección técnica
Cuando las víctimas hacen clic en el botón «Descargar documentos» ( ") de", descargan sin saberlo un archivo VBS (Visual Basic Script) malicioso, que suele llamarse « "Tax Penalty Notice.vbs»." Al ejecutarse, este script se conecta a un servidor remoto y descarga un archivo ejecutable desde un dominio sospechoso. Según el análisis de la infraestructura de mando y control, una de las campañas observadas parece estar relacionada con la familia de malware Xred.
Cuando un destinatario abre el archivo VBS malicioso, se muestra al usuario una advertencia de seguridad en la que se le pregunta si desea continuar con la apertura del archivo; si el usuario continúa, el script se ejecuta automáticamente sin necesidad de ninguna interacción adicional por su parte.
En primer lugar, el script intenta reiniciarse en una ventana oculta para evitar ser detectado, asegurándose así de que sus operaciones permanezcan invisibles para el usuario. Al iniciarse, el script crea un directorio en C:\SystemUpdates si aún no existe. Todas las acciones posteriores se registran en el archivo C:\SystemUpdates\update_log.txt, incluidas las horas de inicio y finalización de la ejecución del script. Este mecanismo de registro proporciona a los autores de las amenazas información sobre las infecciones que han tenido éxito y puede ayudar a resolver los problemas relacionados con los intentos de implementación fallidos.
Una vez establecido su entorno operativo, el script introduce un retraso aleatorio de entre 8 y 15 segundos. Este retraso actúa como una técnica para eludir el análisis, lo que podría permitir evadir los entornos de sandbox automatizados que esperan un comportamiento malicioso inmediato en plazos de análisis breves. Tras el periodo de espera, el script crea y ejecuta un comando de PowerShell diseñado para descargar un archivo ejecutable desde la ubicación remota https://googlevip.shop/216.250.104.166ClientSetup[.]exe.
El archivo descargado se guarda localmente como C:\SystemUpdates\216.250.104.166ClientSetup[.]exe. Si la descarga se completa con éxito y el archivo se encuentra en el sistema local, el comando de PowerShell procede a ejecutar la carga útil de forma silenciosa, sin mostrar ninguna notificación al usuario ni cuadros de diálogo de consentimiento. Una de las campañas observadas parece estar relacionada con el malware XRed, cuya función principal es actuar como troyano de puerta trasera; una vez que se infecta un sistema, XRed puede llevar a cabo numerosas actividades maliciosas
- Exfiltración de datos: Recopila información confidencial del sistema (por ejemplo, nombre de usuario, dirección MAC, nombre del ordenador) y la transmite al atacante.
- Keylogging: registra las pulsaciones del teclado para robar credenciales de cuentas de correo electrónico, redes sociales, banca y criptomonedas.
- Control remoto: El atacante puede ejecutar diversos comandos de forma remota, entre los que se incluyen la captura de capturas de pantalla, el acceso a la línea de comandos y la visualización, descarga o eliminación de archivos.
- Persistencia: Utiliza claves del Registro y directorios ocultos (como C:\ProgramData\Synaptics\) para mantener una presencia persistente en el sistema.
- Cargas útiles adicionales: puede descargar e instalar otros tipos de malware en el equipo afectado
Protección de Mimecast
El equipo de investigación de amenazas de Mimecast ha identificado múltiples características de esta campaña y las ha incorporado a nuestras capacidades de detección. Seguimos vigilando los cambios en la infraestructura y la evolución de las técnicas a medida que los autores de las amenazas adaptan sus operaciones.
Destinatarios
Región principal: India o empresas con sede principalmente en el Reino Unido y EE. UU. que cuenten con una entidad en la India. Selección no aleatoria, centrada de forma sistemática en organizaciones de tamaño medio a grande (más de 1.000 empleados) que operan en entornos que abarcan varias jurisdicciones.
Sectores afectados: Abarca numerosos sectores, con una mayor concentración en los servicios financieros, los servicios profesionales (contabilidad, asesoramiento jurídico, consultoría), la administración empresarial, la cadena de suministro y la logística, y el sector manufacturero. La campaña se dirige preferentemente a organizaciones centradas en el sector B2B que cuentan con ecosistemas de proveedores complejos y operaciones transfronterizas.
Indicadores de compromiso (IOC)
Direcciones de correo electrónico de los remitentes
- urabe@kcc.zaq.ne.jp
- hase.3@jcom.zaq.ne.jp
- akomai@jcom.zaq.ne.jp
- servant@jcom.zaq.ne.jp
- sho552004@jcom.zaq.ne.jp
Archivos maliciosos
- Hash (relacionado con Xred): 0447426535047cae9870c99e8b66d8030c9b1492856445ef630c9c07a3fb42da
- Hash: 5178a2e904e239eb02b836227e48c0a99b02031a91136395a6c70a81d0ef3ee1
Dominios maliciosos
- googlevip[.]shop/
- dadasf[.]qpon/
- googleaxc[.]shop/
- googlem[.]com/
Recomendaciones
Sensibilización de los usuarios en materia de seguridad
- Informe a los usuarios sobre el aumento de los casos de suplantación de identidad de organismos públicos, haciendo hincapié en que las autoridades fiscales legítimas no suelen enviar por correo electrónico solicitudes urgentes de pago o de presentación de documentos que incluyan archivos adjuntos descargables.
- Protocolos de verificación: Establezca procedimientos claros para que los empleados verifiquen las comunicaciones sospechosas procedentes de las autoridades a través de los canales oficiales antes de tomar cualquier medida.
- Concienciación regional: Para las organizaciones que operan en la India, imparta formación específica sobre los métodos de comunicación de las autoridades fiscales locales y las tácticas habituales de suplantación de identidad. Las organizaciones que se ajusten al perfil objetivo (empresas medianas y grandes con filiales indias en los sectores de los servicios financieros o profesionales) deberían dar prioridad a la formación de sensibilización dirigida al personal de finanzas y cumplimiento normativo que tenga acceso a las operaciones de las entidades indias.
Detección proactiva de amenazas
- Análisis de los registros de correo electrónico: Busque en los registros de recepción de correo electrónico los mensajes procedentes de los dominios y direcciones de correo electrónico de los remitentes identificados, en particular aquellos dirigidos al personal de finanzas, cumplimiento normativo u operaciones con responsabilidades en entidades indias.
- Análisis de registros de URL: Busque en los registros de URL indicadores técnicos relacionados con estas campañas
Las organizaciones que operan en la India o mantienen relaciones comerciales con este país deben permanecer atentas ante campañas similares y asegurarse de que sus controles de seguridad tengan en cuenta las amenazas dirigidas geográficamente que puedan eludir los métodos de detección independientes de la región. Las organizaciones con más de 1.000 empleados y una presencia significativa en la India se enfrentan a un riesgo elevado debido a los patrones de ataque demostrados por la campaña.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!