Las autoridades policiales holandesas, junto con las autoridades policiales de Canadá, Alemania y Estados Unidos, destruyeron la infraestructura maliciosa asociada con SocGholish y eliminaron aproximadamente 15.000 sitios web infectados de WordPress.
«Con estas medidas privaremos a los ciberdelincuentes del acceso a los sistemas informáticos infectados», afirmó Michael Rohrmann, de la Unidad Nacional Holandesa contra Delitos de Alta Tecnología.
«Esto evitará mayores daños a los sistemas digitales de ciudadanos, empresas y organizaciones de todo el mundo y limitará la propagación de malware. También reducirá el riesgo de que estos sistemas se utilicen para ataques cibernéticos contra infraestructuras críticas y otros procesos sociales críticos. Esto marca el comienzo de nuevas acciones contra SocGholish».
La eliminación es parte de la Operación Endgame, una iniciativa internacional en curso de aplicación de la ley para combatir las botnets y la infraestructura criminal relacionada. Fue lanzado en 2024.
Como parte del esfuerzo, se cerraron 106 servidores vinculados a SocGholish y se limpiaron de infección 14.971 sitios de WordPress. Se recomienda a los propietarios de sitios web que actualicen sus sistemas de gestión de contenidos (CMS), cambien las credenciales y eliminen cuentas sospechosas.
Activo desde 2017, SocGholish, también conocido como FakeUpdates, es un malware de descarga basado en JavaScript (JS) que normalmente sirve como conducto para el malware de la siguiente etapa de varios actores de amenazas como Evil Corp (también conocido como DEV-0243, Indrik Spider, UNC2165), LockBit, RansomHub, Dridex y Raspberry Robin (también conocido como Roshtyak).
Se distribuye a través de sitios web comprometidos disfrazados de actualizaciones maliciosas para navegadores web como Google Chrome y Mozilla Firefox y otro software popular. Los operadores de este malware han sido rastreados bajo varios alias, incluidos Gold Prelude, Mustard Tempest, Purple Vallhund, TA569 y UNC1543.
«Las infecciones de SocGholish generalmente se originan en sitios web comprometidos que están infectados de múltiples maneras diferentes», señaló Silent Push en un análisis del malware el año pasado. «La infección del sitio web puede implicar una inyección directa. La entrega de carga útil de SocGholish inyecta JS que se carga directamente desde la página web infectada o mediante una versión de inyección directa que utiliza un archivo JS intermedio para cargar la inyección asociada».
En noviembre de 2025, Arctic Wolf reveló que SocGholish estaba siendo utilizado por actores de amenazas de RomCom para distribuir Mythic Agent, destacando el uso de los servicios del corredor de acceso temprano por parte de una amplia gama de actores con diversas motivaciones.
Número de sitios de WordPress comprometidos con SocGholish por país según la geolocalización de IP
Orange Cyberdefense dijo que ha observado infecciones de SocGholish que entregan cargadores como Gholoader (otro cargador basado en JavaScript) y MintsLoader, lo que a su vez conduce al despliegue de cargas útiles adicionales como GhostWeaver, LockBit, AsyncRAT y NetSupport RAT.
«Se ha observado que SocGholish utiliza un modelo de entrega en capas y habilita múltiples categorías de cargas útiles posteriores», dijo la firma de ciberseguridad, y agregó que el actor de amenazas también trabaja con operadores de sistemas de distribución de tráfico (TDS) como TA2726.
Según la Fundación Shadowserver, muchas de las instancias comprometidas de WordPress han sido modificadas para incluir infraestructura criminal operada por SocGholish. La mayoría de los sitios pirateados estaban ubicados en Estados Unidos, seguido de Alemania, Francia, India, Brasil, Singapur, Italia, Indonesia, Canadá y Vietnam.
«El abuso también incluye el uso de un proceso conocido como ‘seguimiento de dominio'», dijo la organización sin fines de lucro. «Esta es una técnica en la que un atacante obtiene acceso al panel de cuenta de registrador o proveedor de DNS autorizado de un dominio legítimo y utiliza ese acceso para crear silenciosamente subdominios adicionales bajo el dominio principal (‘apex’). «
«A estos subdominios maliciosos a menudo se les asigna un nombre de host común que se oculta a simple vista y se mezcla con la infraestructura DNS legítima del propietario del dominio, pero apunta a una infraestructura maliciosa externa operada por delincuentes, aprovechando efectivamente la reputación establecida del dominio y dificultando que los defensores detecten o bloqueen fácilmente actividades ilegales».
Diagrama simplificado de afiliados que dirigen a víctimas potenciales a SocGholish
Además, los sitios web infectados son frecuentemente explotados por múltiples atacantes, exponiendo a los visitantes desprevenidos del sitio a un grupo avanzado de amenazas potenciales. El comportamiento malicioso que muestran estos sitios depende de una serie de factores importantes, incluido el país de origen del usuario, el tipo de navegador utilizado y el sistema operativo subyacente.
«TA569 compromete indiscriminadamente los sitios web y es oportunista, pero los sitios con grandes volúmenes de tráfico tienen más víctimas», afirmó Proofpoint. «Los atacantes también comprometieron sitios web de prácticamente todas las industrias, desde organizaciones sin fines de lucro y escuelas hasta atención médica y hospitales, pasando por agencias legales y de bienes raíces».
La empresa de inteligencia de amenazas DNS Infoblox describió a SocGholish como un marco de JavaScript de varias etapas que transforma los sitios web comprometidos en vehículos de entrega de malware de descarga automática. Este marco se habilita a través de cuatro pasos principales: adquisición de tráfico, filtrado de tráfico, atracción de carga útil y ejecución de implante en el dispositivo.
«TA569 compromete un número significativo de sitios web», afirma el informe. «Pero también aceptan tráfico de afiliados, lo cual es una relación comercial típica. Cuando un usuario visita un sitio, el afiliado generalmente toma las huellas digitales del usuario y pasa la víctima potencial a SocGholish a través de un enlace integrado. A cambio, el afiliado recibe un pago por estos ‘clientes potenciales’. «
Algunos afiliados notables que han vendido tráfico al marco SocGholish a lo largo de los años incluyen TA2726, Parrot TDS y JunkyTDS. Los actores de amenazas están aprovechando productos comerciales como Keitaro y zTDS para filtrar y redirigir el tráfico a SocGholish, o para enviar tráfico al sitio web original u otro contenido si los visitantes del sitio comprometido no cumplen con sus criterios.
Según datos de Infoblox, aproximadamente el 55% de los clientes de la nube de la compañía han intentado acceder a la infraestructura de SocGholish solo este año, y casi «todos los sectores industriales» han sido atacados en los últimos cinco meses. Las industrias más objetivo incluyen gobierno, educación, banca, atención médica, servicios no relacionados con TI, servicios financieros, consultoría de TI, servicios públicos, seguros, transporte y más.
«Esta distribución (…) confirma que SocGholish no es una amenaza de nicho limitada a un área», dijo la compañía. «En cambio, su extenso ecosistema webinject y TDS impacta tanto al sector público como a los entornos comercialmente críticos, lo que representa una amenaza ampliamente relevante en toda nuestra base de clientes».
Source link
