En septiembre de 2025, los equipos de Sophos Managed Detection and Response (MDR) identificaron una campaña de malvertising que distribuía un infostealer (roba-credenciales) denominada TamperedChef, parte de una operación más amplia conocida como EvilAI.
La cobertura previa de esta campaña sugiere que comenzó el 26 de junio de 2025, ya que muchos de los sitios web asociados fueron registrados o identificados por primera vez en esa fecha. Estos sitios promovían, a través de Google Ads, una aplicación de edición de PDF troyanizada llamada AppSuite PDF Editor. Aunque la aplicación parecía legítima para los usuarios, al instalarse desplegaba de forma silenciosa un infostealer, dirigido a dispositivos con sistema operativo Windows.
Mediante análisis de telemetría y actividades de threat hunting, Sophos MDR confirmó que más de 100 sistemas de clientes resultaron afectados antes de que iniciaran los esfuerzos de detección y respuesta.
De acuerdo con la telemetría de Sophos, la mayoría de las víctimas afectadas por esta campaña se encuentran en Alemania (≈15 %), el Reino Unido (≈14 %) y Francia (≈9 %). Si bien los datos muestran una concentración significativa en Alemania y el Reino Unido, es probable que esto refleje el alcance global de la campaña, más que un ataque deliberado contra regiones específicas; en total, se identificaron víctimas en 19 países.
Las víctimas de esta campaña pertenecen a una amplia variedad de industrias, en particular aquellas cuyas operaciones dependen en gran medida de equipos técnicos especializados, posiblemente porque los usuarios de estos sectores suelen buscar en línea manuales de productos, un comportamiento que la campaña TamperedChef explota para distribuir software malicioso.
Investigaciones adicionales revelaron que esta extensa red de distribución, de múltiples capas, incorporaba diversas tácticas avanzadas, entre ellas un periodo de activación retardada o de latencia, software señuelo, entrega de payloads por etapas, abuso de certificados de firma de código y mecanismos diseñados para evadir las protecciones de los endpoints.
Según otros investigadores, la campaña parece seguir activa, con nuevos componentes que continúan siendo descubiertos y con infraestructura de soporte que permanece operativa (aunque los dominios observados durante las investigaciones actualmente parecen estar inactivos).
Cadena de ataque
Como ocurre en muchas campañas de malvertising, la cadena de ataque suele comenzar cuando la víctima introduce una búsqueda en un motor de búsqueda —en este caso, relacionada con manuales de dispositivos o software de edición de PDF—. Otros vectores incluyen enlaces maliciosos en foros engañosos (o hilos fraudulentos en foros legítimos), así como correos electrónicos de phishing.
Posteriormente, anuncios maliciosos creados por los actores de amenaza se muestran a la víctima, ya sea mediante optimización para motores de búsqueda (SEO) para posicionarlos en los primeros resultados, a través de promoción pagada (por ejemplo, Google Ads), o mediante una combinación de ambos. Al hacer clic en estos anuncios o enlaces, los usuarios son redirigidos a sitios web engañosos.
Acciones proactivas recomendadas
- Evitar la instalación de software desde anuncios: No hacer clic en enlaces de instalación ni ventanas emergentes en anuncios en línea, incluso si aparentan provenir de marcas conocidas. En su lugar, descargar software únicamente desde los sitios oficiales de los proveedores.
- Implementar controles estrictos de aplicaciones: En entornos corporativos, restringir las instalaciones exclusivamente a software previamente aprobado, cuando sea posible.
- Reforzar la gestión de credenciales: Deshabilitar el almacenamiento de contraseñas en navegadores cuando sea viable y exigir el uso de gestores de contraseñas seguros y aprobados por la organización; requerir MFA o passkeys para todas las cuentas, con el fin de reducir el riesgo de robo de credenciales y accesos no autorizados.
- Educar a los usuarios finales sobre la adquisición segura de software: Implementar capacitaciones de concientización enfocadas en el reconocimiento de malvertising, páginas de descarga engañosas e instaladores fraudulentos, reforzando que el software debe descargarse únicamente desde sitios oficiales de los proveedores o tiendas de aplicaciones confiables.
Acciones recomendadas posteriores a un incidente:
- Realizar análisis exhaustivos de endpoints utilizando inteligencia de amenazas actualizada para detectar indicadores de compromiso conocidos.
- Reinstalar (reimage) los equipos comprometidos y forzar el restablecimiento inmediato de credenciales para eliminar riesgos de persistencia.
- Verificar y aplicar el uso de Autenticación Multifactor (MFA) en todos los usuarios y sistemas afectados que previamente no contaran con esta protección.
- Fortalecer las capacidades de monitoreo de comportamiento y detección para identificar actividad maliciosa y posibles payloads posteriores.
- Restringir la instalación de software no verificado o no autorizado mediante controles de aplicaciones y políticas de validación de editores.
