Campaña de malware Noodlophile
Los ciberdelincuentes responsables del malware Noodlophile han estado llevando a cabo una campaña continua dirigida a organizaciones en EE. UU., Europa, los países bálticos y la región de Asia-Pacífico. Mediante la combinación de tácticas de phishing selectivo con mecanismos de entrega en constante evolución, pretenden implementar una poderosa herramienta de robo de información cada vez más sofisticada.
Tabla de contenido
Spear-Phishing con un toque especial
La campaña, activa durante más de un año, se ha orientado hacia correos electrónicos de phishing selectivo camuflados en avisos de infracción de derechos de autor. Estos correos no son genéricos; los atacantes los adaptan utilizando datos de reconocimiento, como las identificaciones de páginas de Facebook y los datos de propiedad de las empresas, para aumentar su credibilidad.
Las primeras oleadas de la campaña Noodlophile , descubiertas en mayo de 2025, se basaban en herramientas falsas impulsadas por IA, promocionadas a través de redes sociales como Facebook. Ahora, el cambio a señuelos relacionados con los derechos de autor marca un nuevo capítulo en su evolución. Cabe destacar que estrategias similares ya se han observado: en noviembre de 2024, una campaña de phishing a gran escala utilizó denuncias falsas de infracción de derechos de autor para difundir el ladrón de Rhadamanthys.
Anatomía de la cadena de ataque
La operación actual comienza con correos electrónicos de phishing provenientes de Gmail, diseñados para evitar sospechas y generar urgencia en torno a presuntas violaciones de derechos de autor. Dentro del correo electrónico, un enlace de Dropbox envía un archivo ZIP o MSI. Una vez ejecutado, este instalador instala una DLL maliciosa mediante binarios legítimos de Haihaisoft PDF Reader. Antes de que se ejecute el ladrón Noodlophile, se utilizan scripts por lotes para crear persistencia modificando las entradas del Registro de Windows.
Una técnica particularmente evasiva utiliza las descripciones de grupos de Telegram, que actúan como un "resolvedor de punto muerto" para dirigir a las víctimas hacia el servidor de carga útil real alojado en paste.rs. Este método dificulta la detección y la eliminación, a la vez que permite la entrega dinámica de la carga útil.
Las tácticas de evasión están evolucionando
Basándose en campañas anteriores que aprovecharon archivos codificados en Base64 y LOLBins como certutil.exe, la iteración actual agrega:
- Canales de comando y control basados en Telegram
- Técnicas de ejecución en memoria para evadir la detección basada en disco
Estas innovaciones muestran una tendencia constante hacia mecanismos de evasión más sofisticados, haciendo que las defensas tradicionales sean menos efectivas.
Capacidades de Noodlophile
Noodlophile no es un simple ladrón, sino un conjunto de herramientas en constante evolución, diseñado para exfiltrar una amplia gama de datos confidenciales. Los análisis actuales demuestran que puede:
- Extraer datos del navegador e información del sistema.
- Recopilar información de las redes sociales relacionadas con la empresa, especialmente de Facebook.
El análisis de código en curso revela que los desarrolladores están trabajando para ampliar su funcionalidad. Las funciones previstas incluyen captura de pantalla, registro de pulsaciones de teclas, exfiltración de archivos, monitorización de procesos, reconocimiento de red, cifrado de archivos y extracción detallada del historial de navegación.
Un riesgo empresarial cada vez mayor
El énfasis de la campaña en los datos del navegador y las redes sociales pone de manifiesto una estrategia deliberada: comprometer a empresas con una sólida presencia en línea. Con nuevas funciones en desarrollo, Noodlophile podría convertirse en una amenaza más versátil y peligrosa, combinando espionaje, robo de credenciales e incluso, potencialmente, capacidades similares a las del ransomware en el futuro.
