Se ha observado que los actores de amenazas utilizan n8n, una popular plataforma de automatización de flujo de trabajo de inteligencia artificial (IA), para facilitar campañas de phishing sofisticadas y entregar cargas útiles maliciosas y dispositivos de huellas dactilares mediante el envío de correos electrónicos automatizados.
«Al aprovechar la infraestructura confiable, estos atacantes están eludiendo los filtros de seguridad tradicionales y convirtiendo las herramientas de productividad en vehículos de entrega para un acceso remoto persistente», dijeron los investigadores de Cisco Talos Sean Gallagher y Omid Mirzaei en un análisis publicado hoy.
N8n es una plataforma de automatización del flujo de trabajo que permite a los usuarios conectarse a una variedad de aplicaciones web, API y servicios de modelos de IA para sincronizar datos, crear sistemas de agentes y realizar tareas repetitivas basadas en reglas.
Los usuarios pueden registrarse para obtener una cuenta de desarrollador sin costo adicional para aprovechar los servicios administrados alojados en la nube y ejecutar flujos de trabajo automatizados sin configurar su propia infraestructura. Sin embargo, esto creará su propio dominio personalizado en el formato .app.n8n.cloud desde el cual sus usuarios podrán acceder a su aplicación.
La plataforma también admite la capacidad de crear webhooks que reciben datos de aplicaciones y servicios cuando se activan ciertos eventos. Esto hace posible iniciar un flujo de trabajo después de recibir datos específicos. En este caso, los datos se envían a través de una URL de webhook única.
Según Cisco Talos, estos webhooks que exponen URL y aprovechan el mismo subdominio de nube *.app.n8n(.)se han utilizado en ataques de phishing desde octubre de 2025.
«Los webhooks, a menudo denominados ‘API inversas’, permiten que una aplicación proporcione información en tiempo real a otra aplicación. Estas URL registran la aplicación como un ‘oyente’ para recibir datos, que pueden incluir contenido HTML extraído mediante programación», explicó Talos.
«Cuando una URL recibe una solicitud, se activan los siguientes pasos del flujo de trabajo y los resultados se devuelven como un flujo de datos HTTP a la aplicación solicitante. Cuando se accede a la URL por correo electrónico, el navegador del destinatario actúa como la aplicación receptora y procesa la salida como una página web».
Es importante destacar que esto abre nuevas puertas para que los actores de amenazas propaguen malware y, al mismo tiempo, dan la apariencia de legitimidad al dar la impresión de que proviene de un dominio confiable.
Los actores de amenazas no perdieron el tiempo y aprovecharon este comportamiento para configurar URL de webhook n8n para la entrega de malware y la toma de huellas digitales del dispositivo. Se dice que el volumen de mensajes de correo electrónico que contienen estas URL en marzo de 2026 aumentó aproximadamente un 686% en comparación con enero de 2025.
En una campaña que observó Talos, los atacantes incorporaron enlaces de webhooks alojados en n8n en correos electrónicos que afirmaban ser documentos compartidos. Al hacer clic en el enlace, el usuario accede a una página web que muestra el CAPTCHA. Una vez hecho esto, se activa la descarga de una carga útil maliciosa desde un host externo.
«Todo el proceso está encapsulado en JavaScript en un documento HTML, por lo que al navegador le parece que la descarga proviene del dominio n8n», señalan los investigadores.
El objetivo final del ataque es entregar archivos ejecutables o instaladores MSI que actúan como un conducto hacia versiones modificadas de herramientas legítimas de administración y monitoreo remoto (RMM), como Datto o ITarian Endpoint Management, y usarlos para establecer persistencia mediante el establecimiento de una conexión a un servidor de comando y control (C2).
El segundo caso más frecuente es el de la explotación de n8n para la toma de huellas dactilares. Específicamente, deberá insertar una imagen invisible o un píxel de seguimiento en su correo electrónico alojado en la URL del webhook n8n. Tan pronto como se abre el documento digital a través de un cliente de correo electrónico, se envía automáticamente una solicitud HTTP GET a la URL n8n con parámetros de seguimiento como la dirección de correo electrónico de la víctima, lo que permite al atacante identificar a la víctima.
«Los mismos flujos de trabajo diseñados para ahorrar horas de trabajo manual a los desarrolladores ahora se están reutilizando para automatizar la entrega de malware y dispositivos de huellas digitales debido a su flexibilidad, facilidad de integración y automatización perfecta», dijo Talos. «A medida que continuamos aprovechando el poder de la automatización de código bajo, es responsabilidad de los equipos de seguridad garantizar que estas plataformas y herramientas sigan siendo un activo, no un pasivo».
Source link
