Cómo la puerta trasera de MURKYTOUR se dirige a los solicitantes de empleo

En octubre de 2024, surgió una cibercampaña altamente específica e ingeniosamente camuflada, que reveló el despliegue de una puerta trasera sigilosa conocida como MURKYTOUR . La operación, descubierta por la firma de inteligencia de amenazas Mandiant, pone de relieve las tácticas en constante evolución de los actores aliados con el Estado y su enfoque en el engaño como herramienta principal en el campo de batalla digital.

La campaña se atribuyó a un grupo identificado como UNC2428, un cibercriminal alineado con intereses iraníes. Su estrategia no era un simple correo electrónico de phishing, sino una estrategia de ingeniería social sutil y profundamente engañosa, que presentaba una falsa oportunidad laboral para atraer a personas desprevenidas, especialmente en Israel.

¿Qué es MURKYTOUR?

MURKYTOUR es una puerta trasera, un tipo de malware que permite el acceso y control no autorizado de un dispositivo sin el conocimiento del usuario. En este caso, se instaló silenciosamente después de que las víctimas iniciaran un proceso aparentemente legítimo de solicitud de empleo. Los atacantes se hicieron pasar por Rafael, una prestigiosa empresa de defensa israelí, e invitaron a los solicitantes de empleo a enviar sus credenciales a través de una plataforma en línea falsa.

Cuando las víctimas descargaron e iniciaron el instalador —disfrazado de "RafaelConnect.exe"—, se les mostró una interfaz de aspecto profesional diseñada para ganarse su confianza. Esta aplicación, en realidad un instalador señuelo conocido como LONEFLEET , solicitaba a los usuarios que ingresaran información personal y subieran un currículum. Sin embargo, tras bambalinas, otra herramienta llamada LEAFPILE activó la implementación sigilosa de MURKYTOUR, lo que permitió a los atacantes acceder a largo plazo al ordenador de la víctima.

¿Por qué esto importa?

La puerta trasera MURKYTOUR no es solo otro malware, sino un símbolo de cómo el ciberespionaje se ha vuelto psicológicamente más sofisticado. En lugar de usar tácticas de fuerza bruta, actores como UNC2428 utilizan la ingeniería social —manipulando a las personas para que realicen acciones que normalmente no harían— para vulnerar sistemas silenciosamente.

Las implicaciones de estas tácticas son de amplio alcance. Dirigir a individuos mediante ofertas de empleo permite a los atacantes acceder al interior de organizaciones sensibles engañando a empleados o solicitantes de empleo vinculados a esas redes. Una vez obtenido el acceso, los actores maliciosos pueden recopilar información, robar datos confidenciales o prepararse para una mayor infiltración.

Una estrategia más amplia en juego

MURKYTOUR no se implementó de forma aislada. Es una de las más de 20 cepas de malware identificadas por Mandiant como utilizadas por actores de amenazas vinculados a Irán a lo largo de 2024. Este esfuerzo más amplio incluye grupos como UNC3313 y APT42 , que también se han centrado en la ingeniería social, el phishing selectivo y el abuso de herramientas de software legítimas para pasar desapercibidos.

Por ejemplo, UNC3313 utilizó temas de capacitación y seminarios web para atraer víctimas, distribuyendo malware a través de plataformas conocidas de intercambio de archivos. Mientras tanto, APT42 se ha centrado en imitar importantes servicios web como Google y Microsoft para obtener credenciales. Estas tácticas revelan un patrón: los ciberoperadores aliados con Irán utilizan suplantaciones de identidad realistas y convincentes para evadir las defensas de seguridad tradicionales.

Además, la infraestructura en la nube se ha convertido en el entorno predilecto para las operaciones de comando y control. Al ocultar su actividad en plataformas comúnmente utilizadas por las empresas, los atacantes dificultan que los equipos de seguridad detecten comportamientos inusuales.

Implicaciones para individuos y organizaciones

El incidente de MURKYTOUR es un claro recordatorio de la necesidad de estar alerta, especialmente en situaciones que parecen rutinarias, como solicitar un empleo. Los ciberatacantes atacan cada vez más la capa humana de seguridad, sabiendo que a menudo es el eslabón más débil.

Para las organizaciones, esto implica más que simplemente implementar software antivirus o firewalls. Requiere formación continua y concienciación para el personal, especialmente en sectores frecuentemente atacados por actores estatales, como defensa, salud, finanzas y tecnología.

Los procesos de contratación y RR. HH. también se están convirtiendo en una línea de fuego inesperada en la ciberdefensa. Las empresas deben verificar la autenticidad de las plataformas de empleo de terceros y supervisar los intentos de suplantación de identidad. Asimismo, los posibles solicitantes deben ser cautelosos con los mensajes de contratación inesperados y verificar las ofertas de empleo a través de los sitios web oficiales de la empresa.

Reflexiones finales

La campaña MURKYTOUR es un ejemplo clásico del ciberespionaje moderno. Combina la destreza técnica con la manipulación psicológica, explotando la confianza y los procesos rutinarios para consolidarse. A medida que las ciberamenazas siguen evolucionando, comprender campañas como esta es esencial para anticipar el próximo movimiento de los actores que operan en nombre de los estados-nación.

¿La mejor defensa? Conciencia, vigilancia y una buena dosis de escepticismo, sobre todo cuando la oferta parece demasiado buena para ser verdad.

En Willa
April 24, 2025
Trojan
Spanish
April 24, 2025
Trojan

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.