Un nuevo ataque dirigido a quienes buscan empleo y a especialistas en marketing digital utiliza ingeniería social y archivos maliciosos para instalar el malware Vampire Bot. El grupo vietnamita BatShadow destaca por la sofisticación y persistencia de sus campañas.
BatShadow, un actor de amenazas vinculado a Vietnam, ha desplegado una campaña dirigida a quienes buscan empleo y profesionales del marketing digital, usando señuelos personalizados y técnicas de ingeniería social. Según Aryaka Threat Research Labs, estas operaciones buscan comprometer sistemas mediante un nuevo malware llamado Vampire Bot. El grupo, activo desde hace al menos un año, ya había empleado dominios falsos y malware como Lumma Stealer y Agent Tesla en ataques previos.
BatShadow distribuye archivos ZIP que incluyen PDFs señuelo y accesos directos (LNK) o ejecutables que simulan ser documentos PDF legítimos. Al ejecutarse, los LNK disparan scripts PowerShell que descargan un PDF falso y un archivo ZIP con el software XtraViewer, facilitando acceso remoto persistente. El PDF ficticio persuade al usuario a abrir una URL en Microsoft Edge, superando restricciones de navegador y desencadenando la descarga de un ejecutable malicioso disfrazado: ‘MarriottMarketingJobDescription.pdf.exe’.
Este archivo es el Vampire Bot: una amenaza desarrollada en Golang, capaz de recopilar información del sistema, robar datos sensibles, tomar capturas de pantalla periódicamente y comunicarse con el servidor del atacante para recibir comandos o nuevos payloads.
El principal riesgo recae en la pérdida de información sensible, el secuestro de cuentas empresariales (como Facebook Business) y el acceso persistente al sistema. Al combinar múltiples etapas y archivos manipulados, la campaña eleva la probabilidad de éxito y dificulta la detección temprana. Además, el perfil de los objetivos (profesionales digitales) los convierte en punto de entrada para ataques a mayor escala en organizaciones.
Se recomienda no abrir archivos adjuntos sospechosos ni enlaces no solicitados, especialmente si aparentan ser ofertas laborales. Mantener actualizado el software antivirus, aplicar el principio de mínimos privilegios y monitorizar tráfico hacia dominios y direcciones IP desconocidas. Informar y concientizar a empleados sobre técnicas de phishing y campañas de social engineering es crucial para prevenir incidentes similares.
BatShadow demuestra la evolución de las amenazas que combinan ingeniería social, técnicas de evasión y malware personalizado como Vampire Bot. La formación continua y la vigilancia en la apertura de archivos son esenciales para impedir la expansión de campañas similares.
