Ciberataque masivo mediante anuncios de Google Ads
Malware TamperedChef infecta con editor PDF falso
Una sofisticada campaña de malvertising ha infectado más de 100 organizaciones en 19 países utilizando un editor PDF troyanizado llamado AppSuite PDF Editor. Los atacantes promovieron la aplicación maliciosa a través de anuncios pagados en Google Ads, logrando distribuir el infostealer TamperedChef de manera masiva entre junio y septiembre de 2025.
La característica más notable de esta amenaza es su paciencia estratégica: el malware permaneció inactivo durante aproximadamente 56 días después de la instalación antes de activarse el 21 de agosto de 2025. Este período de latencia coincide deliberadamente con los ciclos típicos de campañas publicitarias de 30 a 60 días, permitiendo a los operadores maximizar el número de sistemas infectados antes de que las soluciones de seguridad pudieran detectar comportamientos maliciosos.
Explotación de comportamientos laborales específicos
La campaña afectó particularmente a organizaciones que dependen de equipamiento técnico especializado, donde los empleados buscan frecuentemente manuales de productos y hojas de datos en línea. Los atacantes aprovecharon este comportamiento colocando anuncios maliciosos en sitios legítimos de bibliotecas de manuales y en resultados de búsqueda relacionados con documentación de equipos.
Según la telemetría de Sophos, Alemania representó aproximadamente el 15 por ciento de las infecciones, seguido por el Reino Unido con 14 por ciento y Francia con 9 por ciento. Los investigadores identificaron más de 300 hosts afectados en entornos de clientes en septiembre de 2025, abarcando sectores como manufactura, construcción y atención médica.
Certificados digitales comprometidos para evadir protecciones
Para aumentar su credibilidad, los atacantes adquirieron o comprometieron certificados de firma de código legítimos de entidades malasias y estadounidenses, incluyendo ECHO Infini SDN BHD, GLINT By J SDN. BHD y SUMMIT NEXUS Holdings LLC. Estos certificados permitieron que los archivos maliciosos evadieran las protecciones de Windows SmartScreen y aparecieran confiables ante las víctimas.
Al ejecutarse, el instalador despliega un editor PDF funcional junto con componentes maliciosos ocultos. El malware establece persistencia mediante modificaciones en el registro y tareas programadas, recopilando posteriormente credenciales almacenadas en navegadores, cookies y datos de autocompletado. Un payload secundario, ManualFinderApp.exe, proporciona funcionalidad de puerta trasera y mantiene comunicación con infraestructura de comando y control.
Respuesta y recomendaciones de seguridad
Los investigadores de seguridad creen que esta campaña forma parte de una operación más amplia conocida como EvilAI, que utiliza código generado por inteligencia artificial en el malware para evadir la detección basada en firmas. Aunque algunos certificados observados han sido revocados y varios dominios eliminados, los expertos advierten que la campaña permanece activa con nuevos componentes que continúan emergiendo.
Las organizaciones que instalaron AppSuite PDF Editor deben considerar comprometidas todas las credenciales almacenadas en navegadores e implementar restablecimientos inmediatos de contraseñas con autenticación multifactor. Los equipos de seguridad deben monitorear tareas programadas sospechosas que se ejecuten desde directorios de perfiles de usuario y restringir las descargas de software únicamente a fuentes aprobadas.
