Los investigadores de ciberseguridad han descubierto una sofisticada campaña de envenenamiento de la optimización de motores de búsqueda (SEO) que explotó los resultados de búsqueda de Bing para distribuir malware Bumblebee, lo que finalmente conduce a devastadores ataques de ransomware Akira.
La campaña, activa a lo largo de julio de 2025, específicamente dirigidos a usuarios que buscan un software legítimo de gestión de TI, que demuestra cómo los actores de amenaza continúan armando plataformas de búsqueda confiables para comprometer las redes empresariales.
El ataque comenzó cuando los usuarios desprevenidos buscaron “ManageEngine Opmanager” en el motor de búsqueda de Bing de Microsoft y fueron redirigidos al Malicioso Domain Opmanager (.) Pro en lugar del sitio web legítimo del proveedor de software.
Este sitio de suplantación cuidadosamente elaborado alojó un archivo de instalador MSI troyanizado llamado ManageEngine-Opmanager.msi, que parecía idéntico al paquete de software auténtico pero contenía componentes maliciosos integrados diseñados para establecer el acceso inicial a las redes de víctimas.
Tras la ejecución del instalador malicioso, el software parecía funcionar normalmente, instalando la aplicación Legitimate ManageEngine OpManager para evitar sospechas.
ManageEngine OpManager en el resultado de la búsqueda (Fuente: el informe DFIR)
Sin embargo, durante el proceso de instalación, el malware implementó simultáneamente un archivo de biblioteca de enlaces dinámico malicioso (DLL) llamado MSIMG32.DLL a través del proceso de consentimiento de Windows.
Los analistas de informes de DFIR identificado Esta técnica sofisticada como método para evitar los controles de seguridad mientras mantiene la aparición de la instalación de software legítimo.
El malware Bumblebee estableció las comunicaciones de comando y control con dos servidores remotos en las direcciones IP 109.205.195 (.) 211: 443 y 188.40.187 (.) 145: 443 utilizando los dominios del algoritmo de generación de dominio (DGA).
Instalador MSI troyanizado, ManageEngine-Opmanager.msi (Fuente-Informe DFIR)
Aproximadamente cinco horas después de la ejecución inicial, el malware implementó una baliza adaptixc2 identificada como adgnsy.exe, que creó un canal de comunicación adicional a 172.96.137 (.) 160: 443, proporcionando a los actores de amenaza acceso persistente al entorno comprometido.
Mecanismo de infección y escalada de privilegios
El éxito del ataque surgió en gran medida de dirigirse a las herramientas de gestión de TI, asegurando que los usuarios que ejecutan el malware poseían cuentas de administrador altamente privilegiadas dentro de los entornos de Active Directory.
Este enfoque estratégico proporcionó a los actores de amenaza de acceso elevado inmediato, eliminando la necesidad de técnicas de escalada de privilegios complejas que generalmente se requieren en ataques específicos.
Después del reconocimiento inicial utilizando utilidades de Windows incorporadas, incluidos SystemInfo, NLTest /DCLIST: Whoami /Groups y Net Group Domain Admins /DOM, los atacantes crearon dos nuevas cuentas de dominio llamadas BackUp_DA y BackUp_EA.
La cuenta de BackUp_EA se agregó estratégicamente al grupo de administradores empresariales utilizando el grupo de comando “Enterprise Admins” Backup_EA /ADD /DOM, otorgando a los atacantes privilegios administrativos de todo el dominio.
Los actores de amenaza se conectaron a controladores de dominio a través del protocolo de escritorio remoto y extrajeron el archivo ntds.dit usando la herramienta de administración de copia de seguridad de Windows con el comando: wbadmin.exe iniciar copia de seguridad -backuptArget: \\ 127.0.1 \ c $ \ programaData \ -Include: “C: \ Windows \ ntds \ ntds.dit, C: \ Windows \ System32 \ config \ System, C: \ Windows \ System32 \ config \ Security” -quiet.
Esta técnica les permitió obtener hash de contraseña para todas las cuentas de dominio.
La campaña culminó con la implementación de ransomware Akira utilizando el Locker de carga útil.exe, con los atacantes logrando el cifrado en solo 44 horas desde el acceso inicial.
Los actores de amenaza demostraron persistencia al regresar dos días después para comprometer los dominios infantiles, destacando el enfoque sistemático y metódico de la campaña para la destrucción de la red de toda la empresa.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
