Microsoft ha revelado los detalles de una campaña de robo de credenciales que emplea clientes de red privada virtual (VPN) falsos distribuidos mediante técnicas de envenenamiento de optimización en motores de búsqueda (SEO). Según los equipos de Microsoft Threat Intelligence y Microsoft Defender Experts, la campaña redirige a los usuarios que buscan software empresarial legítimo a archivos ZIP maliciosos en sitios controlados por atacantes para desplegar troyanos firmados digitalmente que se hacen pasar por clientes VPN de confianza mientras recolectan credenciales de VPN.
Microsoft, que observó la actividad a mediados de enero de 2026, ha atribuido la campaña a Storm-2561, un grupo de actividad amenazante conocido por propagar malware mediante envenenamiento SEO y suplantar a proveedores de software populares desde mayo de 2025.
Las campañas del actor de amenazas fueron documentadas por primera vez por Cyjax, destacando el uso de envenenamiento SEO para redirigir a usuarios que buscaban programas de software de empresas como SonicWall, Hanwha Vision y Pulse Secure (ahora Ivanti Secure Access) en Bing hacia sitios falsos, engañándolos para que descargaran instaladores MSI que desplegaban el cargador Bumblebee.
Una iteración posterior del ataque fue revelada por Zscaler en octubre de 2025. Se observó que la campaña aprovechaba a usuarios que buscaban software legítimo en Bing para propagar un cliente VPN Ivanti Pulse Secure troyanizado a través de sitios web falsos ("ivanti-vpn[.]org") que finalmente robaban credenciales de VPN de la máquina de la víctima.
Microsoft señaló que la actividad resalta cómo los actores de amenazas explotan la confianza en los rankings de los motores de búsqueda y la marca de software como táctica de ingeniería social para robar datos de usuarios que buscan software VPN empresarial. Agravando el problema está el abuso de plataformas confiables como GitHub para alojar los archivos instaladores.
Específicamente, el repositorio de GitHub aloja un archivo ZIP que contiene un instalador MSI que se hace pasar por software VPN legítimo, pero que carga lateralmente archivos DLL maliciosos durante la instalación. El objetivo final, como antes, es recolectar y exfiltrar credenciales de VPN utilizando una variante de un ladrón de información llamado Hyrax.
Se muestra al usuario un diálogo falso, pero convincente, de inicio de sesión VPN para capturar las credenciales. Una vez que la víctima ingresa la información, se le muestra un mensaje de error y se le indica que descargue el cliente VPN legítimo esta vez. En algunos casos, se les redirige al sitio web VPN legítimo.
El malware utiliza la clave de registro RunOnce de Windows para establecer persistencia, de modo que se ejecuta automáticamente cada vez después de un reinicio del sistema.
Esta campaña exhibe características consistentes con operaciones de ciberdelincuencia motivadas financieramente empleadas por Storm-2561. Los componentes maliciosos están firmados digitalmente por 'Taiyuan Lihua Near Information Technology Co., Ltd.'
Microsoft ha eliminado los repositorios de GitHub controlados por los atacantes y ha revocado el certificado legítimo para neutralizar la operación. Para contrarrestar estas amenazas, se recomienda a organizaciones y usuarios implementar autenticación multifactor (MFA) en todas las cuentas, tener precaución al descargar software de sitios web y asegurarse de que sean auténticos.
