A principios de mayo de 2026, se detectó una campaña de ingeniería social que aprovecha la confianza que los usuarios tienen en Microsoft Teams para distribuir un malware conocido como ValleyRAT. Los atacantes crearon sitios web falsos que se parecen fielmente a las páginas oficiales de descarga de Teams, como teams-securecall.com y teamszs.com, y los compartieron públicamente en plataformas como X (anteriormente conocido como Twitter).
Cuando un usuario visita uno de estos sitios, es engañado por un botón de descarga que lleva a un archivo ZIP que contiene un instalador malicioso, denominado 98653.2.87.teamsx.zip. Este instalador, basado en el formato NSIS, se ejecuta sin que el usuario lo note y, tras instalar el software, suelta en segundo plano componentes maliciosos que permiten al atacante controlar el sistema desde lejos.
Lo más peligroso es que el malware no solo instala el troyano, sino que también coloca una copia real de Microsoft Teams en el equipo, con un acceso directo en el escritorio. Esto permite a la víctima creer que simplemente ha descargado una aplicación legítima, sin darse cuenta de que un payload de malware está operativo desde el inicio.
Detalles técnicos
La campaña se basa en una cadena de infección bien estructurada que combina ingeniería social con técnicas avanzadas de post-explotación. Una vez que el instalador se ejecuta, suelta silenciosamente varios componentes maliciosos, entre ellos una DLL conocida como utility.dll, que se usa para realizar una sideloading DLL, aprovechando un ejecutable legítimo como GameBox.exe de Tencent para ejecutar el malware sin que el sistema lo detecte.
El payload principal, llamado user.dat, está cifrado con AES y se descifra completamente en la memoria durante la ejecución, nunca toca el disco en su forma final. Esto hace que sea muy difícil detectar el malware mediante escaneos de archivos.
Además, el atacante emplea inyección de shellcode para cargar ValleyRAT directamente en el proceso en ejecución y utiliza el hashing de API para resolver las funciones de Windows dinámicamente, lo que dificulta que las herramientas de seguridad identifiquen su actividad.
El malware también se oculta mediante cambios de atributos en el sistema, haciendo que los archivos maliciosos sean invisibles durante una inspección casual. Se crea un servicio llamado _CCGDAT que asegura que el malware se reinicie automáticamente cada vez que el sistema se enciende.
Una vez activo, ValleyRAT monitorea el portapapeles en tiempo real para capturar contraseñas, direcciones de billeteras y otras credenciales sensibles. También registra las pulsaciones del teclado y envía los datos recopilados al servidor de comando y control (C2) del atacante.
El payload de la tercera etapa se obtiene en vivo desde el servidor C2 en un formato cifrado XOR y se descifra en la memoria, lo que permite al atacante cambiar el comportamiento del malware en cualquier momento y desplegar herramientas diferentes según la situación.
A quién afecta
Este ataque afecta principalmente a usuarios que descargan software de forma incógnita, especialmente aquellos que visitan enlaces compartidos en redes sociales o que confían en sitios web que parecen oficiales. Los usuarios de entornos corporativos también están en riesgo si permiten que se instale software no verificado.
El ataque está vinculado al grupo APT SilverFox, un grupo de ciberatacantes conocido por sus campañas sofisticadas. Los artefactos en idioma chino encontrados en los sitios falsos y en los registros de soporte sugieren que la actividad se originó en China.
Recomendaciones y mitigaciones
Para protegerse contra esta amenaza, se recomiendan las siguientes medidas:
- Descargar siempre el software directamente desde las páginas oficiales del proveedor. Evita los enlaces compartidos en redes sociales o en grupos.
- Verificar la firma digital de cualquier instalador antes de ejecutarlo. Esto permite detectar paquetes troyanizados.
- Implementar listas blancas de aplicaciones en entornos corporativos para bloquear aplicaciones no autorizadas.
- Monitorear activamente el uso de PowerShell en los equipos, ya que el malware modifica la configuración de Windows Defender y oculta sus archivos mediante comandos de PowerShell.
- Actualizar las herramientas de detección de endpoints para capturar comportamientos conductuales, como la inyección de shellcode o la creación de servicios no conocidos.
- Habilitar alertas de cambios en el sistema relacionados con la creación de servicios, cambios de atributos en archivos o modificaciones en el registro de Windows.
Indicadores de Compromiso (IoCs)
Los indicadores se publican defanged para evitar clicks accidentales.
Dominios falsos de descarga
- teams-securecall[.]com
- teamszs[.]com
Archivo malicioso
- 98653.2.87.teamsx.zip
Hashes (MD5)
- 709604CE58E3F8255587AC9253DB6994 — 98653.2.87.teamsx.zip (Troyano)
- 18F3E85D7237E3CAC0AD13BDCF513F0F — utility.dll (Troyano)
- 8F9DE887E9AED9D580F386BA2D191319 — user.dat (Troyano)
IP de Comando y Control (C2)
- 103[.]215[.]77[.]17
Esta campaña demuestra cómo los atacantes utilizan la confianza en marcas legítimas para desplegar malware de acceso remoto. Los usuarios deben ser más cautelosos al descargar software, y las organizaciones deben implementar controles técnicos robustos para detectar comportamientos anómalos. La combinación de ingeniería social y técnicas avanzadas de post-explotación hace que estos ataques sean especialmente peligrosos, especialmente en entornos donde la seguridad del endpoint no está bien gestionada.
La clave para prevenir este tipo de amenazas es la educación del usuario y el uso de controles de seguridad tecnológicos que detecten comportamientos sospechosos desde el inicio.
