Troyano SilentRoute: una herramienta VPN falsa que secuestra credenciales sin ser detectado

Un nombre confiable convertido en caballo de Troya

Otra amenaza de ciberseguridad está causando sensación en el panorama de la seguridad, y no se trata del sospechoso habitual. Denominado SilentRoute , este malware troyano se ha descubierto incrustado en una versión falsa del cliente VPN NetExtender de SonicWall, ampliamente utilizado. El ataque se dirige a usuarios que buscan descargar software legítimo, engañándolos para que instalen una versión comprometida.

En esencia, NetExtender está diseñado para conectar de forma segura a usuarios remotos a redes corporativas, permitiéndoles acceder a archivos, aplicaciones internas y otros recursos como si estuvieran sentados en un escritorio de oficina. Sin embargo, cuando se utiliza como arma, como en el caso de SilentRoute, esta conectividad se convierte en una puerta de entrada para que los atacantes roben datos confidenciales directamente del dispositivo del usuario. Cabe mencionar que SonicWall no está asociado con la proliferación de este malware.

El método de infiltración de SilentRoute

Se descubrió que el software infectado, que se hacía pasar por la versión 10.3.2.27 de NetExtender, se distribuía a través de un sitio web fraudulento que ya no está disponible. Lo que hace que la artimaña sea convincente es que el instalador venía firmado digitalmente, aparentemente por una empresa legítima llamada CITYLIGHT MEDIA PRIVATE LIMITED. Esta firma digital probablemente ayudó a eludir el escepticismo de los usuarios y los controles de seguridad.

Microsoft, que se asoció con SonicWall para investigar la campaña, identificó el troyano y rastreó su distribución. Los atacantes parecen haber empleado métodos conocidos pero efectivos para atraer a las víctimas, utilizando tácticas como el envenenamiento de motores de búsqueda (SEO), el phishing selectivo e incluso el malvertising para difundir el software falsificado. Es posible que los usuarios que buscaban NetExtender en línea hayan accedido sin saberlo al sitio malicioso, descargado el cliente falso y expuesto sus credenciales en el proceso.

Cómo funciona SilentRoute entre bastidores

Una vez instalada, la versión maliciosa de NetExtender se comporta de forma engañosa como la aplicación real. Sin embargo, en realidad, dos de sus componentes principales (NeService.exe y NetExtender.exe ) han sido modificados para enviar datos de configuración a un servidor controlado por el atacante. Estos datos incluyen credenciales de inicio de sesión como nombres de usuario, contraseñas, nombres de dominio y otra información de configuración esencial para el acceso a la VPN.

El malware logra esto secuestrando el proceso de conexión. Cuando los usuarios introducen sus credenciales de VPN y pulsan "Conectar", el código malicioso intercepta la información y la transmite a un servidor remoto a través del puerto 8080, utilizando la dirección IP 132.196.198.163. Cabe destacar que el malware también elude las comprobaciones habituales de certificados, lo que garantiza que los archivos manipulados no generen alertas inmediatas.

Qué significa esto para los usuarios y las organizaciones

Las implicaciones de esta campaña van más allá del robo de credenciales individuales. Dado que las VPN suelen ser la primera línea de acceso a una red corporativa segura, las credenciales comprometidas podrían otorgar a los atacantes privilegios significativos, lo que facilita el movimiento lateral, la exfiltración de datos y la vigilancia a largo plazo. Para las organizaciones que dependen de una infraestructura de teletrabajo, SilentRoute representa un grave riesgo para los sistemas internos y los datos confidenciales.

Además, el uso engañoso de firmas digitales complica aún más el proceso de detección. Al firmar el malware con lo que parece ser un certificado válido, los atacantes eluden muchas herramientas antivirus y de protección de endpoints convencionales, especialmente aquellas que se basan en la detección basada en firmas.

El panorama de amenazas más amplio: EvilConwi y campañas relacionadas

SilentRoute no es un incidente aislado. Casi al mismo tiempo, la empresa alemana de ciberseguridad G DATA informó sobre un clúster de amenazas relacionado, denominado EvilConwi , en el que los atacantes manipulaban de forma similar herramientas de confianza (en este caso, los instaladores de ConnectWise) para distribuir malware. Estas campañas utilizan el "relleno de código de autenticación", una técnica que permite inyectar código malicioso sin romper la firma digital de un archivo.

Las infecciones en el caso de EvilConwi suelen comenzar con correos electrónicos de phishing que enlazan a una página de Canva, que luego descarga un instalador manipulado de ConnectWise. A partir de ahí, los atacantes implementan pantallas falsas de actualización de Windows para evitar que las víctimas apaguen sus sistemas mientras se establece el acceso remoto discretamente en segundo plano.

Esta tendencia más amplia resalta una táctica creciente entre los actores de amenazas: aprovechar la legitimidad de software conocido para ocultar sus operaciones, haciendo que sus actividades sean más difíciles de detectar y más fáciles de confiar.

Mantenerse a la vanguardia de la amenaza

La campaña SilentRoute subraya la importancia de la vigilancia al descargar software, especialmente herramientas relacionadas con la seguridad y el acceso remoto. Los usuarios y administradores deben verificar siempre la fuente de las descargas, idealmente obteniéndolas directamente de los sitios web oficiales de los proveedores en lugar de confiar en los resultados de los motores de búsqueda.

Para las organizaciones, esto también es un llamado de atención para reforzar el monitoreo de puntos finales, implementar la fijación de certificados cuando sea posible y considerar mecanismos de detección basados en el comportamiento que puedan señalar actividad de red inusual o modificaciones de archivos.

A medida que los atacantes se vuelven más hábiles para enmascarar sus intenciones mediante canales de confianza, las defensas de ciberseguridad deben evolucionar en paralelo. El troyano SilentRoute sirve como un oportuno recordatorio de que la confianza, especialmente en el software, debe verificarse constantemente, no darse por sentada.

En Willa
June 26, 2025
Trojan
Spanish
June 26, 2025
Trojan

Entradas populares

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 9 months

Cosas que aprender de la estafa de correo electrónico "Su...

Hace 9 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 9 months

Atrapado en el clic: La estafa de DocuSign: correo electrónico...

Hace 8 months

OneBrowser: posibles riesgos de este programa indeseable

Hace 11 months

Entender F95.zone: Cómo navegar entre secuestradores de...

Hace 12 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.