Una campaña de malware previamente invisible comenzó a circular a principios de agosto de 2025, a través de archivos adjuntos de correo electrónico y descargas web, dirigidas a usuarios en Colombia y más allá.
Al aprovechar dos formatos de archivo vectoriales distintos, Adobe Flash SWF y gráficos vectoriales escalables (SVG), los atacantes crearon una operación multifásica que evadió la detección tradicional antivirus.
Los informes iniciales surgieron cuando un archivo SWF de aspecto benigno llamado SECHESTER.SWF activó alertas en solo un puñado de motores antivirus, lo que provocó una investigación más profunda.
En cuestión de días, surgió un archivo SVG complementario, incrustando cargas útiles de JavaScript sofisticadas diseñadas para hacerse pasar por el portal colombiano de fiscalía de la Nacia.
El pivote perfecto entre los formatos Legacy y Modern sorprendió a muchos equipos de seguridad desprevenidos.
El componente SWF se disfrazó de un juego legítimo de rompecabezas 3D, completo con módulos ActionScript para renderizar, infinir a rutas y rutinas criptográficas.
Si bien los motores antivirus marcaron clases ofuscadas y rutinas AES, no pudieron reconocer que este código sirvió mecánica legítima del juego en lugar de un comportamiento malicioso.
Archivo malicioso (Fuente – Virustotal)
Mientras tanto, la variante SVG contenía JavaScript en línea que decodificaba una página de phishing Base64 y dejó caer silenciosamente un archivo zip que contenía cargas útiles adicionales.
La combinación de estos dos vectores creó una amenaza de múltiples cabezas que pasó barreras de detección con alarmante facilidad.
Analistas virustotales anotado que al expandir el soporte para el análisis SWF y SVG en Code Insight, pudieron descubrir docenas de muestras relacionadas a las pocas horas de las presentaciones iniciales.
Al buscar comentarios en español dejados por los atacantes, tensiones como “poliformismo_masivo_seguro” y “funciones de masivas ficticias”, los investigadores identificaron una campaña cohesiva que abarca más de 40 archivos SVG únicos, ninguno de los cuales había elevado banderas en escaneos antivirus estándar.
La presencia temprana de estos marcadores permitió la creación rápida de la firma y los trabajos de retrohunt, lo que arrojó más de 500 coincidencias cuando se aplicó a las presentaciones del año anterior.
El corazón de la operación estaba en sus tácticas de evasión. Al distribuir archivos SWF grandes y ofuscados que combinan el código de juego con rutinas de cifrado, los atacantes explotaron los umbrales heurísticos.
Al mismo tiempo, los archivos SVG incrustados JavaScript en secciones de Cdata, evadiendo una coincidencia de patrones simples.
Este archivo SVG ejecuta una carga útil de JavaScript integrada al renderizar (fuente – Virustotal)
Cuando se renderizó en un navegador, el guión decodificaría e inyectaría una interfaz de phishing HTML, completa con barras de progreso y formas de aspecto auténtico que imitaban las comunicaciones oficiales del gobierno.
Técnicas de evasión de detección
Central del éxito de esta campaña fue la capas de ofuscación y polimorfismo. Cada muestra de SWF empleó renombres variables, inserción del código de basura y rutinas de embalaje personalizadas para derrotar el análisis estático.
El siguiente extracto ilustra cómo la carga útil de SVG ocultó su lógica principal dentro de las cadenas de Base64 anidadas:-
// Politism_Masivo_Siguuro: 2025-09-01T16: 39: 16.8085557 var Paces = ATOB (“UE … Vum+CG ===”); Documento. escribir (carga útil);
Mientras tanto, la regla de Yara elaborada por los investigadores de Virustotal se dirigió a los comentarios de español consistentes:-
regla svg_colombian_campaign {cadenas: $ c1 = “funciones ficticias masivas” $ c2 = “poliformismo_masive_segur” Condición: uint16 (0) == 0x3c3f y cualquiera de ($ c*)}
Esta regla alcanzó más de 523 detecciones cuando se retró en contra de un año de presentaciones.
Al combinar las derivaciones heurísticas, las cargas útiles encriptadas y la mala dirección intencional, los atacantes demostraron una comprensión refinada de los formatos de archivos heredados y modernos, lo que aumenta la necesidad urgente de un análisis con el contexto en la defensa de las amenazas contemporáneas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
