Una nueva campaña de malware está dando de qué hablar, y es que los atacantes han encontrado una forma creativa (y preocupante) de usar los subdominios de Cloudflare Tunnel para alojar software malicioso. Todo esto llega a las víctimas a través de correos electrónicos de phishing con archivos adjuntos que parecen inofensivos, pero en realidad están diseñados para infectar sus equipos.
Cómo los atacantes están usando Cloudflare Tunnel para propagar malware
Todo empieza con un correo que parece relacionado con pagos o facturas, acompañado de un enlace a un archivo comprimido. Dentro de ese archivo hay un acceso directo de Windows (LNK), camuflado como si fuera un documento real. Si alguien lo abre, se activa una cadena de acciones maliciosas que termina con la ejecución de una carga útil en la memoria del sistema, sin dejar muchos rastros visibles.
Lo interesante (y peligroso) es que los atacantes están utilizando una combinación de scripts ofuscados y herramientas en Python para cargar código directamente en la memoria, sin necesidad de escribir nada en el disco duro. Esto hace que muchas soluciones de seguridad tradicionales tengan dificultades para detectarlo.
El enfoque es bastante sofisticado: primero, se engaña al usuario con un archivo que parece un PDF o algún documento común; luego, ese archivo se conecta a servidores usando WebDAV a través de túneles creados con Cloudflare, lo que ayuda a evitar filtros de red y mecanismos de seguridad más convencionales.
Esta campaña ya ha tenido como objetivo a usuarios en Estados Unidos, Reino Unido, Alemania y otras partes de Europa y Asia. Todavía no está claro quién está detrás de todo esto, pero parece que tienen un buen dominio del inglés, lo que podría dar alguna pista sobre su origen.
Además, los atacantes no se están quedando quietos. Han estado cambiando su técnica de entrada, pasando de accesos directos que enlazaban directamente a URLs, a otros disfrazados como si fueran archivos PDF, lo que los hace aún más convincentes.
Por si fuera poco, esta campaña no es nueva del todo. Variantes similares se detectaron el año pasado, y en aquel entonces sirvieron como puerta de entrada para herramientas como AsyncRAT, GuLoader, Remcos RAT, PureLogs Stealer, Venom RAT y XWorm, todos conocidos por su capacidad para robar información y tomar el control de sistemas de forma remota.
Por qué los subdominios de TryCloudflare son el camuflaje perfecto para el malware
Aprovechar TryCloudflare les da a los atacantes varias ventajas bastante útiles. Para empezar, no es nuevo que los ciberdelincuentes usen servicios legítimos en la nube como tapadera para esconder sus actividades. Herramientas como estas les ayudan a distribuir malware o mantener el control remoto de los sistemas infectados sin levantar sospechas.
En este caso, están utilizando subdominios que parecen completamente confiables, como los que terminan en *.trycloudflare.com. ¿El resultado? Es muy difícil para los equipos de seguridad saber si están viendo algo legítimo o una amenaza real. Como los dominios parecen normales, muchas veces pasan desapercibidos y no se bloquean, lo que les da vía libre.
Todo arranca cuando la víctima abre un archivo LNK, que a primera vista parece inofensivo. Ese archivo inicia una descarga desde un recurso WebDAV alojado en un subdominio de Cloudflare Tunnel. Lo que baja es un archivo de script (WSF), que luego se ejecuta con cscript.exe, una herramienta común de Windows. Todo esto ocurre en segundo plano, sin que el usuario se dé cuenta de que algo anda mal.
Según explicó un investigador de securonix, el archivo WSF funciona como un cargador liviano escrito en VBScript. Su tarea es sencilla pero efectiva: ejecutar un archivo por lotes (batch) alojado en otro subdominio de Cloudflare. Ese archivo se llama kiki.bat, y es el que realmente pone en marcha la siguiente fase del ataque. En resumen, todo está diseñado para ser sigiloso y quedarse en el sistema sin ser detectado.
Este script por lotes tiene varios trabajos: primero, abre un archivo PDF falso como señuelo para que la víctima no sospeche nada. Luego, revisa si hay antivirus instalados en el equipo, y finalmente descarga y ejecuta otros archivos escritos en Python. ¿Para qué? Para lanzar malware empaquetado directamente en la memoria, como AsyncRAT o Revenge RAT, sin dejar rastros evidentes en el disco duro.
Algo interesante es que el código del script contiene comentarios bastante claros y bien estructurados, lo que hace pensar que podría haber sido escrito con ayuda de una IA, como un modelo de lenguaje grande.
En resumen, esta campaña (apodada SERPENTINE#CLOUD) combina varios trucos: un poco de ingeniería social, técnicas para usar herramientas del propio sistema (lo que se conoce como “living off the land”) y ejecución de código directamente en la memoria para evitar ser detectados. Y al usar Cloudflare Tunnel para mover todos sus archivos, los atacantes se aseguran de mantener un perfil bajo y ocultar sus huellas en una infraestructura que, de por sí, suele parecer confiable.