Un ataque silencioso a las actualizaciones de un software ampliamente utilizado por desarrolladores y equipos de tecnología permitió a ciberdelincuentes infiltrarse en redes corporativas y gubernamentales sin levantar sospechas. Investigadores del equipo Global Research and Analysis Team (GReAT) de Kaspersky descubrieron que los atacantes comprometieron la cadena de suministro de Notepad++, un popular editor de texto y código presente en millones de computadoras, y usaron su sistema de actualización para distribuir malware camuflado como parches legítimos.
El propio equipo de desarrollo informó que la infraestructura de actualización fue vulnerada tras un incidente que afectó a su proveedor de hosting, lo que permitió a los atacantes intervenir el mecanismo de distribución oficial. El impacto fue mayor de lo que se conocía públicamente. Además del malware detectado inicialmente, Kaspersky identificó múltiples cadenas de ataque ocultas que operaron entre julio y octubre, afectando organizaciones gubernamentales, instituciones financieras, proveedores de servicios de TI y a usuarios de varias regiones, incluyendo América Latina.
En cada fase, los atacantes cambiaron completamente su infraestructura como servidores, dominios, archivos y métodos de ejecución, lo que les permitió evadir los controles tradicionales y permanecer dentro de las redes durante meses. De hecho, lo que se había reportado públicamente correspondía únicamente a la fase final de la campaña, lo que significa que muchas organizaciones pudieron haber revisado sus sistemas sin detectar infecciones previas que utilizaban indicadores completamente distintos.
Este tipo de compromiso es especialmente peligroso porque aprovecha la confianza en las actualizaciones de software. En lugar de que la víctima descargue un archivo sospechoso, el malware llega a través de un canal legítimo, lo que facilita el acceso inicial y abre la puerta a espionaje, robo de información o movimientos laterales hacia sistemas críticos.
“Cuando un atacante compromete la actualización de una herramienta que una organización usa a diario, aprovecha la confianza que esta tiene en su proveedor para infiltrarse sin generar sospechas. La empresa acepta el archivo como legítimo y baja la guardia. Eso convierte a la cadena de suministro en una de las rutas más efectivas para el espionaje y el robo de datos hoy en día. Por eso las organizaciones ya no pueden depender solo de listas de indicadores conocidos, necesitan visibilidad y detección continua dentro de sus redes”, señaló Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Las soluciones de Kaspersky bloquearon todos los ataques identificados durante la investigación. El equipo publicó además nuevos indicadores de compromiso y un análisis técnico completo para ayudar a las organizaciones a revisar posibles exposiciones previas.
Para evitar que tu empresa sea víctima de este tipo de campañas, los expertos de Kaspersky recomiendan:
1. Fortalecer la gestión de la cadena de suministro digital: validar proveedores, monitorear continuamente actualizaciones de software, mantener inventarios claros de activos y segmentar redes para que una sola herramienta comprometida no dé acceso total a la infraestructura.
2. Adoptar detección basada en comportamiento, no solo en firmas conocidas: los atacantes cambian constantemente su infraestructura, por lo que es clave contar con monitoreo continuo que identifique actividades anómalas, movimientos laterales o escalamiento de privilegios en tiempo real.
3. Apoyarse en plataformas integradas de protección y respuesta: soluciones del portafolio Kaspersky Next, como Kaspersky Next XDR Optimum, combinan prevención, detección y respuesta avanzadas para descubrir amenazas desconocidas dentro de la red y contener ataques sofisticados de cadena de suministro antes de que escalen.
