Una nueva investigación de Sophos ha revelado un nuevo tipo de ataque informático está utilizando correos electrónicos con currículums falsos para engañar al personal de recursos humanos e infiltrar empresas. Detrás de esta campaña está GOLD BLADE, un grupo de ciberdelincuentes especializado en espionaje corporativo, que utiliza documentos aparentemente inofensivos para instalar un programa espía en los ordenadores de las víctimas sin que lo noten.

El objetivo: espionaje comercial altamente dirigido, centrado principalmente en personal de recursos humanos (RRHH), mediante documentos falsificados que simulan currículums vitae.

Campañas de phishing selectivas

GOLD BLADE, activo desde al menos 2018, es un grupo financiero-motivado especializado en campañas discretas de espionaje corporativo. Sus operaciones anteriores se han dirigido a sectores como seguros, legal, TI y gobierno, y su modus operandi ha consistido tradicionalmente en campañas de phishing selectivas que explotan la confianza organizacional y el acceso privilegiado.

Ad

La táctica más reciente, documentada en julio de 2025, utiliza documentos PDF perfectamente elaborados, enviados a través de portales de empleo legítimos. Estos documentos contienen enlaces a archivos comprimidos (ZIP) que esconden un archivo LNK camuflado como un PDF.

Una vez que la víctima (generalmente un profesional de RRHH) abre el archivo, comienza una cadena de infección modular y encubierta que evita escribir código malicioso en disco —uno de los métodos más eficaces para evadir herramientas tradicionales de detección en endpoints.

Anatomía del ataque: legítimo por fuera, malicioso por dentro

1. La trampa inicial

Todo comienza con un correo de apariencia profesional, acompañado de una carta de presentación en PDF para conseguir empleo. El archivo incluye un enlace que descarga un archivo ZIP desde un dominio controlado por los atacantes. Dentro del archivo comprimido hay un .lnk (acceso directo de Windows) disfrazado de documento PDF.

2. Ejecución encubierta

El archivo LNK, al ser abierto, ejecuta conhost.exe, un proceso legítimo del sistema Windows. Este proceso, a través de WebDAV, se conecta a un dominio en Cloudflare también bajo control de los atacantes, desde donde descarga un archivo ejecutable firmado, originalmente parte de la suite de Adobe, como ADNotificationManager.exe.

Esta táctica de sideloading permite que el ejecutable benigno cargue un archivo malicioso —en este caso, un DLL llamado netutils.dll— sin levantar sospechas, ya que el ejecutable tiene firma válida y se comporta de forma aparentemente normal.

3. Persistencia sin escribir en disco

El archivo DLL malicioso se carga remotamente y de manera lateral, lo que permite iniciar la infección sin que se registre escritura de archivos en el disco local del usuario, evitando así múltiples soluciones de seguridad.

Una vez en memoria, el malware crea una tarea programada personalizada con nombres como BrowserQE\BrowserQE_<nombre de equipo en Base64>, que garantiza la persistencia y ejecuta la siguiente fase del ataque.

RedLoader, fase 2: espionaje y exfiltración silenciosa

La tarea programada descarga desde otro dominio controlado por GOLD BLADE una nueva carga útil: el ejecutable autónomo de RedLoader fase 2. Esta variante es más directa que versiones anteriores vistas en 2024, que dependían de DLLs adicionales para funcionar.

El segundo estadio del malware se ejecuta nuevamente mediante conhost.exe y PCALua.exe —herramientas nativas del sistema— y mantiene un hash SHA256 consistente, lo que permite su correlación en múltiples casos. Su función es establecer comunicación con los servidores de comando y control (C2) y realizar tareas avanzadas como:

  • Recopilación de información del sistema y red.

  • Ejecución de scripts PowerShell para mapear el entorno de Active Directory.

  • Identificación de activos y cuentas privilegiadas.

  • Exfiltración de datos confidenciales relacionados con procesos internos o propiedad intelectual.

Un enfoque “Living-Off-The-Land”

Uno de los aspectos más preocupantes de esta campaña es su enfoque basado en «Living-Off-The-Land» (LotL), es decir, el uso de herramientas legítimas del sistema operativo o de terceros (como software firmado de Adobe) para ejecutar código malicioso.

Este enfoque permite a GOLD BLADE evadir productos de seguridad que se basan en firmas, comportamiento anómalo o detección heurística tradicional, ya que el comportamiento de los binarios es, en apariencia, perfectamente válido.

Además, el uso de infraestructura de Cloudflare Workers para alojar los payloads —como se observa en dominios como automatinghrservices[.]workers[.]dev o quiet[.]msftlivecloudsrv[.]workers[.]dev— aporta una capa adicional de legitimidad que dificulta la detección y el bloqueo.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre