Expertos en ciberseguridad han descubierto una sofisticada campaña de ingeniería social dirigida a empresas manufactureras críticas para la cadena de suministro en Estados Unidos. La operación, denominada ZipLine por Check Point Research, utiliza un malware en memoria llamado MixShell.

A diferencia de las campañas de phishing tradicionales que dependen de correos electrónicos no solicitados, los atacantes emplean el formulario de “Contáctanos” de las compañías como punto de entrada. A partir de ahí, establecen semanas de comunicación profesional y creíble, a menudo respaldada con acuerdos de confidencialidad falsos (NDAs), antes de enviar finalmente un archivo ZIP malicioso que contiene MixShell.

Sectores bajo ataque

La campaña ha afectado a organizaciones en múltiples sectores, aunque el principal objetivo son las empresas con sede en EE. UU. Entre las industrias más atacadas se encuentran:

• Maquinaria industrial y sistemas de ingeniería
• Metalurgia y fabricación de componentes
• Empresas de hardware y semiconductores
• Productores de bienes de consumo
• Biotecnología y farmacéuticas

También se han detectado víctimas en otros países como Singapur, Japón y Suiza. Los analistas señalan que la campaña parece centrarse de forma intencional en industrias vitales para las cadenas de suministro globales.

Tácticas, técnicas e infraestructura

El origen de la campaña aún no está claro. Sin embargo, Check Point resaltó conexiones entre la infraestructura de los atacantes y operaciones anteriores de TransferLoader vinculadas a un grupo identificado como UNK_GreenSec.

Lo que diferencia a ZipLine es la capacidad de los atacantes de aprovechar flujos de trabajo empresariales legítimos. En lugar de alarmar o presionar a las víctimas con mensajes urgentes, construyen confianza mediante conversaciones prolongadas. En algunos casos incluso presentan propuestas relacionadas con inteligencia artificial, prometiendo ayudar a las organizaciones a reducir costos y mejorar la eficiencia, antes de desplegar el malware.

La cadena de ataque incluye:

• Cargas maliciosas en varias etapas con ejecución en memoria
• Uso de túneles DNS para el comando y control (C2), con HTTP como respaldo
• Archivos ZIP que contienen un acceso directo de Windows (LNK) que ejecuta un cargador PowerShell
• Despliegue del implante MixShell, capaz de ejecutar comandos remotos, realizar operaciones con archivos, habilitar un proxy inverso, persistir en el sistema e infiltrarse más profundamente en la red

Existe además una variante totalmente basada en PowerShell, que incorpora técnicas anti-depuración, evasión de sandbox, persistencia mediante tareas programadas y capacidades de proxy inverso y descarga de archivos.

Los archivos ZIP maliciosos se alojan en herokuapp[.]com, un servicio PaaS legítimo, lo que demuestra cómo los atacantes abusan de proveedores de confianza para camuflar sus actividades. Cabe señalar que no todos los archivos ZIP en ese dominio son maliciosos, lo que indica una personalización en tiempo real según el objetivo.

Campaña a gran escala y bien organizada

Check Point también observó que los atacantes utilizan dominios que imitan nombres de empresas LLC registradas en EE. UU., e incluso reutilizan dominios que anteriormente pertenecieron a negocios legítimos. Además, mantienen sitios web clonados, lo que refuerza la teoría de una campaña cuidadosamente planificada y escalable.

Riesgos para las empresas

Las consecuencias de ZipLine van mucho más allá de una simple infección de malware. Las organizaciones corren el riesgo de enfrentar:

• Robo de propiedad intelectual
• Incidentes de ransomware
• Compromiso de correos empresariales y toma de cuentas
• Fraude financiero
• Interrupciones en la cadena de suministro con efectos en cascada

Según Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research:

“La campaña ZipLine es un recordatorio de que el phishing ya no se limita a enlaces sospechosos en correos electrónicos. Los atacantes están innovando más rápido que nunca, combinando psicología humana, canales de comunicación confiables y señuelos oportunos relacionados con la IA. Para protegerse, las organizaciones deben priorizar defensas basadas en IA, enfocadas en la prevención, y fomentar una cultura de vigilancia donde cada interacción entrante se trate como una amenaza potencial.”

Fuente: https://thehackernews.com/2025/08/mixshell-malware-delivered-via-contact.html