otrobit

Detectan campaña de malware que usa archivos LNK para infectar sistemas Windows con MoonPeak

enero 26, 2026 · 12,345 vistas

Expertos en ciberseguridad han alertado sobre una nueva campaña de malware que está afectando a usuarios de Windows mediante el uso de archivos de acceso directo (LNK) maliciosos. Estos archivos están siendo utilizados para distribuir MoonPeak, un peligroso malware que permite a los atacantes tomar el control remoto de los equipos infectados.

De acuerdo con los investigadores, MoonPeak parece estar relacionado con XenoRAT, una familia de malware conocida, y la actividad ha sido atribuida a grupos de amenazas vinculados a Corea del Norte.

Archivos disfrazados de documentos PDF

La campaña se centra principalmente en inversores y comerciantes de criptomonedas, especialmente en Corea del Sur. Los atacantes envían archivos LNK que aparentan ser documentos PDF legítimos, supuestamente relacionados con estrategias de inversión o análisis financiero.

Al abrir el archivo, el usuario ve un PDF real, lo que genera una falsa sensación de seguridad. Sin embargo, en segundo plano se ejecutan procesos ocultos que inician la infección del sistema sin levantar sospechas.

Una infección silenciosa y difícil de detectar

Los analistas explican que estos archivos contienen un PDF codificado que se muestra normalmente al usuario, mientras que, de forma paralela, se ejecuta un script oculto que descarga otros componentes maliciosos.

Este método permite que el ataque pase desapercibido, ya que el comportamiento visible del archivo parece completamente inofensivo. La campaña fue detectada por primera vez en enero de 2026, cuando se identificaron archivos con nombres en idioma coreano relacionados con inversiones.

Uso de servicios legítimos para evadir la seguridad

Uno de los aspectos más preocupantes de esta campaña es que los atacantes utilizan plataformas legítimas como GitHub para alojar los archivos maliciosos. Esta técnica, conocida como Living Off Trusted Sites (LOTS), dificulta la detección, ya que muchas soluciones de seguridad confían en estos dominios.

Investigadores de IIJ Security Diary lograron reconstruir el flujo completo del ataque y confirmaron que el malware se descarga en varias etapas, reduciendo su huella en el sistema.

El malware evita entornos de análisis

Antes de infectar el equipo, el código malicioso verifica si se está ejecutando en un entorno de análisis o en una máquina virtual. Para ello busca herramientas de depuración y monitoreo utilizadas por investigadores de seguridad.

Si detecta alguno de estos entornos, el malware se detiene automáticamente, lo que complica su estudio y retrasa la detección por parte de las empresas de seguridad.

Control remoto y robo de información

Una vez instalado, MoonPeak establece comunicación con servidores controlados por los atacantes, permitiéndoles acceder remotamente al sistema, robar información sensible y ejecutar comandos de forma remota.

Los expertos advierten que este tipo de malware representa un riesgo significativo, especialmente para usuarios que manejan activos financieros o criptomonedas.

Recomendaciones para los usuarios

Ante este tipo de amenazas, los especialistas recomiendan:

  • Evitar abrir archivos adjuntos de remitentes desconocidos

  • Desconfiar de supuestos documentos financieros inesperados

  • Mantener el sistema operativo y el antivirus actualizados

  • Restringir el uso de scripts y macros cuando no sean necesarios

La campaña continúa activa, por lo que los investigadores recomiendan extremar las precauciones y mantenerse informados sobre nuevas técnicas de ataque.

Etiquetas:

Comentarios

Publicar un comentario