english
ZoqueLabs

--[ Anomalía #10 - Navegadores, sesiones y otras cosas que estamos viendo aparecer ]--

Junio 12, 2026

Por: ZoqueLabs

Este escrito se distribuye con una licencia Creative Commons CC BY-SA (Reconocimiento - Compartir Igual).

English version

 

¡Hola, hola!

Hace unos meses nos llegó un caso para análisis forense relacionado con una wallet. La pregunta inicial parecía relativamente sencilla: intentar entender qué había pasado.

No encontramos una respuesta definitiva. Lo que encontramos fueron rastros.

Había indicios de que todo podía haber comenzado con la descarga de un software aparentemente legítimo. Había cambios extraños en el navegador, referencias a extensiones y señales de que una sesión podía haber sido comprometida. También había suficientes piezas dispersas como para sospechar que detrás del incidente existía una cadena mucho más larga de lo que alcanzábamos a ver.

Durante semanas intentamos reconstruirla. Encontrábamos algo y aparecían tres preguntas nuevas. Pasamos de revisar artefactos forenses a leer sobre extensiones de navegador. Después terminamos leyendo sobre sincronización de perfiles. Luego sobre robo de sesiones. Luego sobre malware bancario. Luego sobre infraestructura.

En algún momento dejamos de seguir el incidente y empezamos a seguir los rastros que iba dejando.

Por esos días aparecieron investigaciones sobre extensiones capaces de tomar control de perfiles completos de navegador. Otras describían mecanismos para clonar sesiones activas sin necesidad de robar contraseñas. Más recientemente encontramos reportes sobre SilabRAT, una herramienta comercializada en foros criminales con funciones para secuestrar sesiones, clonar perfiles y operar desde el propio entorno de la víctima.

Mientras tanto seguían apareciendo campañas asociadas a Casbaneiro y Horabot que mezclan correos electrónicos, PDFs protegidos con contraseña, ClickFix, WhatsApp y malware bancario. No eran los mismos actores. No eran las mismas herramientas. Tampoco eran exactamente las mismas víctimas.

Pero había algo familiar en todas ellas, aunque ninguno de estos artículos explicaba el caso que estábamos investigando, parecían comportarse de forma similar.

Una y otra vez aparecían navegadores, sesiones autenticadas, perfiles sincronizados, extensiones, wallets y formas de aprovechar algo que ya estaba ahí en lugar de comprometerlo desde cero. En muchos casos el objetivo ya no parece ser únicamente instalar malware, sino operar desde contextos legítimos: una sesión abierta, un navegador de confianza, una extensión instalada o una cuenta que ya pasó todos los controles de autenticación.

Eso nos llamó la atención porque muchas de las personas y organizaciones que acompañamos dependen justamente de esas herramientas. Navegadores, extensiones, plataformas en la nube, aplicaciones de mensajería, gestores de contraseñas o servicios donde una sesión autenticada vale mucho más que una contraseña.

Además, muchas de las técnicas que terminan apareciendo en contextos de sociedad civil no nacen necesariamente allí. Antes suelen circular en campañas de fraude financiero, robo de credenciales o ecosistemas criminales donde nuevas formas de obtener acceso, persistencia o control son probadas, modificadas y reutilizadas.

Por eso terminamos leyendo sobre Casbaneiro cuando intentábamos entender como compromenten una wallet. O sobre extensiones cuando buscábamos rastros en un navegador. O sobre robo de sesiones cuando la pregunta original parecía ir por otro lado.

Todavía no sabemos exactamente qué pasó en el caso que originó esta historia. Todavía hay piezas que no encajan y preguntas sin responder. Pero después de varios meses siguiendo campañas, infraestructura, malware y técnicas que aparecen una y otra vez en América Latina, la impresión que nos queda es que cada vez investigamos menos incidentes aislados y más cadenas que se cruzan, se mezclan y reaparecen en lugares distintos.

Y por eso seguimos observándolas.

--[ Inteligencia de Amenazas ]–

IA / Software abierto— un repositorio falso llegó al top de Hugging Face distribuyendo malware

Un repositorio que imitaba un proyecto legítimo de OpenAI logró posicionarse entre los más populares de Hugging Face antes de ser retirado por distribuir un infostealer orientado al robo de credenciales, sesiones y wallets. La investigación encontró además otros repositorios vinculados que reutilizaban la misma infraestructura y mecanismos de descarga. El caso muestra cómo los ecosistemas de IA también se están convirtiendo en espacios donde reputación, popularidad y confianza pueden ser manipuladas para distribuir malware a gran escala.

DAEMON Tools — ataque a la cadena de suministro alcanzó objetivos en Brasil

Un ataque atribuido a UNC6863 comprometió instaladores oficiales de DAEMON Tools para distribuir código malicioso firmado con certificados legítimos del propio software. La operación comenzó con infecciones masivas orientadas a perfilar equipos comprometidos, pero solo una pequeña parte recibió implantes adicionales como BADFALL y QUIC RAT. Las etapas más avanzadas fueron desplegadas contra un conjunto reducido de organizaciones, incluyendo entidades gubernamentales, científicas, manufactureras y comerciales en países como Brasil, Rusia, Turquía, Bielorrusia y Tailandia.

--[ Vigilancia y espionaje]–

Panamá y Venezuela — grupos vinculados a China apuntan a entidades gubernamentales

En su reporte de actividad APT, ESET documentó operaciones de espionaje atribuidas a grupos alineados con China contra entidades gubernamentales en Panamá y Venezuela. Entre los casos descritos aparece FamousSparrow, que comprometió una entidad venezolana relacionada con asuntos marítimos, y NegativeGlimmer, observado en organizaciones gubernamentales panameñas. Según ESET, estas operaciones coinciden con intereses chinos en temas marítimos, energéticos y políticos, en un contexto de creciente actividad de grupos de espionaje estatales en América Latina y el Caribe.

México / EE.UU. / Canadá — el Mundial también viene con reconocimiento facial, antidrones y vigilancia ampliada

Con el inicio de la Copa Mundial 2026, distintos reportes y organizaciones sociales vienen siguiendo el despliegue de tecnologías de vigilancia en las ciudades sede. Entre las medidas anunciadas aparecen sistemas de reconocimiento facial en estadios, plataformas de monitoreo en tiempo real, tecnologías antidrones, centros de comando integrados y cientos de nuevas cámaras de vigilancia. Hay preocupación por la falta de transparencia sobre el uso de estos sistemas, especialmente en temas como reconocimiento facial, retención de datos biométricos y posibles capacidades de interceptación de comunicaciones. En el caso de Estados Unidos, la discusión también toca a las comunidades migrantes, en un momento donde la biometría, los sistemas de identificación y otras tecnologías de vigilancia ocupan un lugar cada vez más visible dentro de las políticas migratorias y de control fronterizo.

--[ Malware]–

Brasil / Argentina — BTMOB y la facilidad de construir campañas para Android

ESET analizó BTMOB, un malware para Android que permite capturar información, monitorear actividad y tomar control remoto del dispositivo. Además de las capacidades del RAT, el reporte muestra algo que aparece cada vez con más frecuencia: la venta de kits listos para usar, con paneles que permiten generar nuevas aplicaciones maliciosas y adaptar campañas para distintos países. Los investigadores documentaron señuelos que imitaban organismos tributarios en Argentina y sitios falsos diseñados para distribuir las aplicaciones. BTMOB parece formar parte de un mercado donde el acceso a capacidades de vigilancia y control sobre dispositivos móviles se vuelve cada vez más fácil de comprar, reutilizar y redistribuir.

--[ Análisis ténicos]–

SilabRAT apuesta por perfiles de navegador, sesiones activas y wallets de criptomonedas

Group-IB publicó un análisis de SilabRAT, una herramienta comercializada como servicio en foros criminales que incorpora funciones para clonar perfiles de navegador, secuestrar sesiones activas y controlar equipos mediante HVNC. El malware también incluye módulos para recuperar credenciales, acceder a cookies, monitorear actividad en navegadores y extraer información relacionada con criptomonedas. El reporte también documenta su distribución a través de campañas de ClickFix y describe funciones que buscan replicar el perfil del navegador de una víctima, incluyendo extensiones, almacenamiento local y otros elementos utilizados por algunos servicios para verificar la identidad de quien inicia sesión.

--[ Ransomware]–

Guatemala — The Gentlemen vuelve a aparecer

Exfiltradaz registró en el snapshot de esta edición la publicación de Liztex Guatemala en los canales asociados a The Gentlemen, una de las operaciones de ransomware más activas de 2026. Un reporte reciente describe cómo el grupo pasó de trabajar como afiliado de otros programas de ransomware a operar de manera independiente, acumulando cientos de víctimas en países como Brasil, India, Reino Unido y Tailandia. Para quienes siguen Anomalía, The Gentlemen no es un nombre nuevo: ha aparecido varias veces durante los últimos meses en nuestra región.

--[ Filtraciones ]–

Uruguay — LaPampaLeaks ofrece búsquedas de ciudadanos a cambio de criptomonedas

LaPampaLeaks publicó información personal del actual ministro del Interior, un expresidente y de otras figuras públicas uruguayas para promocionar un servicio de búsquedas pagadas en Bitcoin. El grupo asegura tener acceso a información proveniente de distintas bases de datos del país, incluyendo registros de identidad, educación y plataformas estatales. Días antes, la organización se había atribuido la filtración de datos de TuID, el sistema de identidad digital operado por Antel.

--[ Violencia Digital ]–

ShinyHunters y Scattered Spider aparecen vinculados a redes más amplias de sextorsión y violencia

Una investigación explora los vínculos entre grupos conocidos por intrusiones a empresas tecnológicas —como ShinyHunters, Lapsus$ y Scattered Spider— y un ecosistema criminal más amplio conocido como The Com. Según el reporte, las fronteras entre robo de accesos, fraude, sextorsión, explotación sexual y otras formas de violencia son mucho menos claras de lo que suele reflejar la cobertura sobre cibercrimen. El tema llamó nuestra atención porque ShinyHunters ya había aparecido anteriormente en Anomalía a propósito de filtraciones que afectaron aplicaciones de citas utilizadas en la región.

--[ ZOLIM - El snapshot de esta semana (10/06/2026) ]–

ZOLIM reporta 12 nuevas IPs, se destaca:

Puedes consultar toda la información y explorar por país, IP, ciudad, amenaza y otros filtros en el dashboard de ZOLIM.

--[ Exfiltradaz - Snapshot del 29/05/2026 al 12/06/2026 ]–

Durante este periodo se registraron 19 referencias a filtraciones vinculadas a 6 países de la región. Brasil continúa concentrando la mayor parte de la actividad observada, principalmente asociada a la circulación de credenciales, accesos y bases de datos compartidas en distintos foros. Guatemala registra un aumento frente al periodo anterior y aparece tanto en publicaciones relacionadas con ransomware como en referencias a bases de datos expuestas.

La actividad continúa distribuida principalmente en plataformas como niflheim, darkweb y blackhatworld y 5 nuevos actores observados. Además de la circulación habitual de credenciales y accesos, durante este periodo aparecen referencias a información gubernamental en Venezuela, una nueva víctima de The Gentlemen en Guatemala y registros asociados a sectores financieros y empresariales en distintos países de la región.

Más detalles de estas filtraciones en Exfiltradaz.