Un grupo de atacantes de ransomware intentó comprometer la red de una empresa Fortune 100 del sector financiero utilizando una nueva variante de malware conocida como PDFSider, diseñada para distribuir cargas maliciosas en sistemas Windows.
Para lograr el acceso inicial, recurrieron a técnicas de ingeniería social, haciéndose pasar por personal de soporte técnico y engañando a trabajadores para que instalaran Microsoft Quick Assist, una herramienta legítima de acceso remoto.
El malware fue identificado durante la respuesta a un incidente de seguridad y se describe como una puerta trasera altamente sigilosa, pensada para mantener acceso persistente a largo plazo. Su comportamiento y forma de comunicación presentan características típicas de amenazas avanzadas, similares a las utilizadas en ataques dirigidos de tipo APT.
En TecnetOne seguimos de cerca este tipo de amenazas porque reflejan una tendencia clara: ataques cada vez más dirigidos, difíciles de detectar y con técnicas propias de amenazas avanzadas, lo que hace indispensable contar con monitoreo continuo y una estrategia de seguridad proactiva.
Según información compartida por investigadores de seguridad, PDFSider ya ha sido utilizado en ataques de ransomware como Qilin, aunque no es un caso aislado. De hecho, distintos grupos de ransomware estarían aprovechando esta puerta trasera para ejecutar sus propias cargas maliciosas, lo que confirma que se trata de una herramienta activa y en expansión dentro del ecosistema criminal.
La distribución de PDFSider se basa en correos electrónicos de phishing que incluyen un archivo ZIP. Dentro del comprimido se encuentra un ejecutable legítimo y firmado digitalmente, perteneciente a la herramienta PDF24 Creator, lo que ayuda a generar confianza y pasar desapercibido. El problema es que ese mismo paquete también contiene una DLL maliciosa (cryptbase.dll), diseñada para sustituir a la original y permitir la infección.
Al ejecutar el programa, Windows carga automáticamente la DLL del atacante en lugar de la legítima, una técnica conocida como DLL side-loading. De esta forma, el malware consigue ejecutar código en el sistema sin levantar sospechas, utilizando software confiable como fachada.
La firma válida del ejecutable (Fuente: Resecurity)
En otros escenarios, los atacantes van un paso más allá y personalizan los correos maliciosos para que resulten más creíbles. Utilizan documentos falsos que parecen hechos a medida para la víctima y, en uno de los casos analizados, incluso suplantaron a una entidad gubernamental china como supuesta autora del archivo, aumentando las probabilidades de que el destinatario lo abriera sin sospechar.
Una vez que el archivo se ejecuta, la DLL maliciosa se carga con los mismos permisos que el ejecutable legítimo, lo que le da vía libre para operar dentro del sistema. Aunque el archivo EXE cuenta con una firma digital válida, el software PDF24 presenta vulnerabilidades que los atacantes supieron aprovechar para cargar el malware y evadir soluciones de detección avanzada (EDR) de forma eficaz.
Este tipo de abuso de software vulnerable es cada vez más común. Encontrar aplicaciones explotables resulta más sencillo para los cibercriminales, en parte por el crecimiento de herramientas de desarrollo asistidas por inteligencia artificial, que aceleran la creación y adaptación de este tipo de ataques.
Una vez activo, PDFSider se ejecuta directamente en memoria, dejando muy pocos rastros en el disco. Desde ahí, utiliza canales anónimos para ejecutar comandos a través de la consola de Windows (CMD), lo que complica aún más su detección.
Cada equipo infectado recibe un identificador único, mientras que información clave del sistema es recopilada y enviada al servidor del atacante a través de consultas DNS (puerto 53), una técnica que suele pasar desapercibida en muchos entornos corporativos.
Para proteger sus comunicaciones, PDFSider emplea cifrado avanzado utilizando la librería criptográfica Botan y el algoritmo AES-256-GCM, descifrando los datos directamente en memoria para reducir su huella en el equipo comprometido.
Además, las comunicaciones están protegidas mediante cifrado autenticado, lo que garantiza tanto la confidencialidad como la integridad de los datos intercambiados.
Este nivel de implementación criptográfica es típico de malware utilizado en ataques dirigidos, donde mantener comunicaciones seguras y difíciles de interceptar es clave para que los atacantes puedan operar durante largos periodos sin ser detectados.
Descripción general del funcionamiento de PDFSider
Podría interesarte leer: ¿Qué es una red DMZ y cómo te puede ayudar a proteger tu empresa?
PDFSider deja en claro hacia dónde están evolucionando los ataques actuales: malware cada vez más sigiloso, persistente y difícil de detectar, que no busca un impacto inmediato, sino mantenerse oculto dentro de las redes corporativas el mayor tiempo posible. Frente a este escenario, la prevención ya no es suficiente; es clave adoptar un enfoque de detección y respuesta continua.
Para reducir el riesgo frente a amenazas avanzadas como PDFSider, desde TecnetOne recomendamos:
Contar con un SOC (Security Operations Center) que monitoree los sistemas de forma continua, identifique comportamientos anómalos y actúe rápidamente ante cualquier indicio de compromiso.
Implementar soluciones EDR/XDR integradas al SOC, capaces de detectar actividad sospechosa incluso cuando el malware no deja rastros en el disco.
Reforzar la seguridad del correo electrónico, con filtrado avanzado, análisis de archivos adjuntos y capacitación constante para prevenir ataques de phishing dirigidos.
Mantener una gestión activa de vulnerabilidades, priorizando la actualización de software ampliamente utilizado que puede ser explotado como vector de ataque.
Monitorear el tráfico de red y DNS, ya que este tipo de malware suele usar canales legítimos para comunicarse sin levantar alertas.
Aplicar el principio de mínimo privilegio, reduciendo el impacto de una posible infección y limitando el movimiento lateral dentro de la red.
Ante este panorama, un SOC operativo 24/7 se convierte en una pieza clave de la estrategia de ciberseguridad, permitiendo detectar ataques en etapas tempranas, responder de forma coordinada y minimizar el impacto en el negocio.