Social Tabatinga Leticia Iquitos - TALEOI.COM

En una reciente investigación, Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), descubrió una falla en el sistema de invitaciones de Discord que permite a los atacantes secuestrar enlaces de invitación caducados o eliminados y redirigir secretamente a usuarios desprevenidos a servidores maliciosos. Los enlaces de invitación publicados por comunidades confiables meses atrás en foros, redes sociales o sitios web oficiales ahora podrían llevar discretamente a los usuarios a manos de ciberdelincuentes. Discord es una plataforma ampliamente utilizada y confiable, preferida por gamers, comunidades, empresas y otros usuarios que necesitan conectarse de forma segura y rápida.
Los atacantes aprovecharon una función de Discord que permite reutilizar enlaces de invitación caducados o eliminados, lo que les permitió secuestrar enlaces confiables de la comunidad y redirigir a los usuarios a servidores dañinos.
• El ataque engaña a los usuarios con un bot de verificación falso y un sitio de phishing que simulan servidores legítimos de Discord, lo que lleva a las víctimas a ejecutar, sin saberlo, comandos dañinos que descargan malware en su computadora.
• El malware se propaga silenciosamente en varios pasos utilizando servicios populares y confiables como GitHub y Pastebin para ocultar su actividad y evitar ser detectado.
• Los atacantes se dirigen principalmente a usuarios de criptomonedas y buscan ganar dinero robando credenciales e información de billetera de víctimas de todo el mundo. Se rastrearon más de 1300 descargas, con víctimas provenientes de varios países, incluyendo EE. UU., Vietnam, Francia, Alemania, Reino Unido y más, lo que pone de relieve la escala global y la motivación financiera detrás de la campaña.
CPR observó ataques reales en los que los actores de amenazas aprovecharon enlaces secuestrados para implementar sofisticados esquemas de phishing y campañas de malware. Estos incluyeron infecciones multietapa que evadieron la detección de herramientas antivirus y comprobaciones de sandbox, y que finalmente distribuyeron malware como AsyncRAT y Skuld Stealer. Este blog detallará el ataque y compartirá consejos prácticos para mantenerse protegido contra este tipo de ataques.
Para obtener detalles técnicos detallados, consulte nuestro informe de investigación completo. El riesgo oculto de los enlaces de invitación de Discord
Discord ofrece varios tipos de enlaces de invitación: temporales, permanentes y personalizados. Los enlaces temporales caducan tras un tiempo determinado, los permanentes nunca caducan, mientras que los enlaces personalizados son URL personalizadas disponibles solo para servidores premium (Nivel 3 de mejora).
La investigación reveló que los atacantes pueden explotar la forma en que Discord gestiona los códigos de invitación caducados o eliminados, especialmente los enlaces personalizados. Cuando un enlace de invitación personalizado caduca o un servidor pierde su nivel de mejora, el código de invitación puede volver a estar disponible. Los atacantes pueden entonces usar el mismo código y redirigir a los usuarios a un servidor malicioso.

En muchos casos, los usuarios encuentran estos enlaces en fuentes antiguas y fiables, sin tener motivos para sospechar que algo anda mal. Para colmo, la aplicación Discord a veces da a los usuarios la falsa impresión de que los enlaces temporales se han convertido en permanentes, lo que contribuye a la proliferación de códigos pirateables.
De enlaces de confianza a servidores maliciosos
Una vez pirateado un enlace de invitación, los atacantes redirigen a los usuarios a servidores maliciosos que imitan los legítimos de Discord. Los recién llegados suelen encontrar que la mayoría de los canales están bloqueados, excepto uno llamado "verificar". En este caso, un bot falso llamado "Safeguard" solicita a los usuarios que completen un paso de verificación.
Servidor malicioso de Discord al que se accede tras hacer clic en un enlace de invitación pirateado.
Al hacer clic en "verificar", se inicia un flujo OAuth2 y se redirige a los usuarios a un sitio de phishing muy similar a Discord. El sitio precarga un comando malicioso de PowerShell en el portapapeles y guía a los usuarios a través de un proceso de verificación falso. Esta técnica, conocida como "ClickFix", engaña a los usuarios para que ejecuten el comando a través del cuadro de diálogo Ejecutar de Windows.
Una vez ejecutado, el script de PowerShell descarga componentes adicionales de Pastebin y GitHub, iniciando una cadena de infección de varias etapas. Finalmente, el sistema se infecta con cargas útiles, como AsyncRAT, que proporciona a los atacantes control remoto, y Skuld Stealer, que ataca las credenciales del navegador y las billeteras de criptomonedas.
Resumen de la cadena de infección: Desde PowerShell hasta la entrega final de la carga útil del malware.

Una campaña en expansión y evolución
Esta campaña no es estática. Hemos observado que los atacantes actualizan periódicamente su descargador para mantener una tasa de detección cero en VirusTotal. También identificamos una campaña paralela dirigida a jugadores. En este caso, el cargador inicial estaba integrado en una herramienta de trampas troyanizada para Los Sims 4, lo que demuestra la flexibilidad de los atacantes para atacar a diferentes grupos de usuarios.
Impacto y alcance
El número exacto de víctimas es difícil de determinar debido al uso sigiloso de los webhooks de Discord para la exfiltración de datos. Sin embargo, las estadísticas de descargas de los repositorios utilizados en la campaña muestran más de 1300 descargas. Las víctimas se encontraban en todo el mundo, incluyendo Estados Unidos, Vietnam, Francia, Alemania, el Reino Unido y otros países.
El enfoque en el robo de credenciales y datos de monederos de criptomonedas indica una clara motivación financiera detrás del ataque.
Una plataforma confiable convertida en vector de ataque
Esta campaña ilustra cómo una característica sutil del sistema de invitaciones de Discord puede ser utilizada como arma. Al secuestrar enlaces confiables, los atacantes crearon una cadena de ataque efectiva que combinó ingeniería social con el abuso de servicios legítimos como GitHub, Bitbucket y Pastebin.
En lugar de utilizar una ofuscación robusta, los actores de amenazas recurrieron a técnicas más simples y sigilosas, como la ejecución basada en el comportamiento, las tareas programadas y el descifrado retardado de la carga útil.
Esta campaña destaca la creciente sofisticación de los ataques de ingeniería social que secuestran la confianza de los usuarios. En lugar de recurrir a malware altamente ofuscado, los atacantes utilizaron servicios legítimos y trucos de comportamiento sencillos para evadir la detección, lo que demuestra la facilidad con la que se pueden manipular plataformas populares cuando funciones básicas, como la gestión de enlaces de invitación, no están protegidas.
Discord ha desactivado el bot malicioso utilizado en esta campaña, pero las tácticas principales siguen siendo viables. Los atacantes pueden registrar fácilmente nuevos bots o cambiar de vector mientras continúan explotando el sistema de invitaciones.

Protección:
1. Verifica los enlaces de invitación: Inspecciona siempre las URL de invitación de Discord antes de hacer clic. Si un enlace proviene de una fuente antigua (por ejemplo, una publicación en un foro o un tuit), verifica primero su legitimidad.
2. Usa enlaces de invitación permanentes: Al administrar tus propios servidores de Discord, genera enlaces de invitación permanentes (que nunca caduquen). Evita publicar invitaciones temporales.
3. Comprueba la insignia de "Aplicación verificada" antes de autorizar bots: Interactúa solo con bots que muestren la insignia oficial de "Aplicación verificada" de Discord. Los bots no verificados pueden ser maliciosos. 4. Nunca ejecutes comandos desconocidos: Ningún servidor legítimo de Discord ni proceso de verificación debería exigirte ejecutar comandos de PowerShell ni pegar nada en la terminal de tu sistema. Detente e investiga si se te solicita.
5. Adopta defensas por capas: Para las organizaciones, combina la formación en seguridad con la protección de endpoints, la detección de phishing y herramientas de seguridad del navegador que puedan detener las amenazas antes de que se ejecuten.
6. Aprovecha la protección proactiva: Check Point Threat Emulation ofrece prevención en tiempo real contra malware avanzado, tácticas de phishing y amenazas basadas en archivos como las utilizadas en esta campaña, en la web, el correo electrónico y las herramientas de colaboración. Sus funciones de análisis de comportamiento y sandboxing ofrecen protección crítica contra la ingeniería social en constante evolución y los ataques de malware multietapa.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto una vulnerabilidad crítica en Windows (CVE-2025-33053), previamente desconocida, que estaba siendo explotada activamente en una sofisticada campaña de ciberespionaje llevada a cabo por el grupo APT conocido como Stealth Falcon.
La campaña comenzó con un archivo de acceso directo (.url) disfrazado de documento PDF relacionado con daños en equipamiento militar. Este archivo malicioso activaba silenciosamente un malware alojado en un servidor WebDAV controlado por los atacantes, abusando de herramientas legítimas de Windows. Los investigadores identificaron esta amenaza en marzo de 2025, durante un intento de ataque contra una importante organización de defensa en Turquía. Tras la divulgación responsable a Microsoft, la compañía clasificó la vulnerabilidad como CVE-2025-33053 y publicó un parche el 10 de junio de 2025 como parte de su actualización mensual Patch Tuesday.
Campaña avanzada y dirigida
El ataque incluía un cargador personalizado, conocido como Horus Loader, diseñado para eliminar rastros, evadir mecanismos de detección, abrir documentos señuelo y desplegar un implante final llamado Horus Agent. Este último es un implante privado, desarrollado específicamente para el marco Mythic de comando y control, ampliamente usado por equipos de red team. A diferencia de otros agentes conocidos, Horus Agent fue construido desde cero en C++, con un diseño centrado en el sigilo, la evasión y la activación selectiva en objetivos de alto valor.
El uso de componentes legítimos del sistema como iediagcmd.exe o CustomShellHost.exe, sumado al aprovechamiento de WebDAV, permitió a los atacantes ejecutar código remoto sin necesidad de depositar archivos en la máquina víctima en las primeras fases del ataque.
Para determinar si el entorno ha sido vulnerado, Check Point Research recomienda examinar los registros y sistemas de monitorización en busca de lo siguiente:
· Correos electrónicos con archivos adjuntos comprimidos que incluyan un archivo .URL o .LNK aparentemente inofensivo.
· Conexiones inusuales o no identificadas a servidores WebDAV iniciadas por procesos predeterminados de Windows.
· Uso de herramientas incorporadas como iediagcmd.exe y CustomShellHost.exe, que inician procesos secundarios desde ubicaciones remotas o actúan en contextos inesperados, como ser activadas desde máquinas remotas o encontrarse en endpoints donde su ejecución no se espera.
· Procesos disfrazados como utilidades del sistema legítimas como route.exe, ipconfig.exe, netsh.exe o explorer.exe, ejecutados desde ubicaciones remotas.
“Desde Check Point Software hemos desarrollado y desplegado protecciones para mantener a nuestros clientes seguros antes de que la vulnerabilidad se hiciera pública”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad en NOLA de Check Point Software. “Las soluciones Intrusion Prevention System, Threat Emulation y Harmony Endpoint detectan y bloquean intentos de explotación dirigidos a esta brecha de seguridad”.

En el marco del Día Mundial contra el Trabajo Infantil, la Gobernación del Amazonas, a través de sus diferentes dimensiones de intervención social, en articulación con la Policía Nacional, llevó a cabo una jornada de sensibilización, control y verificación en el sector de la Plaza de Mercado del municipio de Leticia.

La actividad tuvo como objetivo visibilizar la problemática del trabajo infantil y reforzar el compromiso institucional en la protección de los derechos de los niños, niñas y adolescentes del departamento. Durante la jornada, se realizaron recorridos por el área de la plaza, donde se adelantaron acciones de inspección para identificar posibles casos de trabajo infantil y promover un entorno seguro y saludable para la niñez.

Funcionarios de las áreas de salud, educación, desarrollo social y protección de derechos humanos de la Gobernación del Amazonas participaron activamente en las actividades, brindando orientación a comerciantes y ciudadanía en general sobre los riesgos del trabajo infantil y la importancia de garantizar el acceso a la educación y una infancia libre de explotación.

Por su parte, la Policía Nacional, a través de su Grupo de Infancia y Adolescencia, acompañó los operativos de control, haciendo énfasis en la prevención y fortalecimiento de la denuncia ciudadana frente a este flagelo.

Esta conmemoración reafirma el compromiso del gobierno departamental y las autoridades locales en erradicar todas las formas de trabajo infantil, alineados con las metas de desarrollo sostenible y el respeto integral de los derechos de la infancia en la región amazónica.