Una nueva campaña de malware, identificada como GPUGate, ha captado la atención de expertos en ciberseguridad por su nivel de sofisticación y el uso estratégico de dos de las plataformas más confiables de Internet: Google Ads y GitHub. Según el Arctic Wolf Cybersecurity Operations Center, esta campaña ha sido atribuida a un actor de amenazas con origen en Rusia y se dirige específicamente a profesionales de TI en Europa Occidental.

Ingeniería social avanzada mediante Google Ads y GitHub

El ataque comienza con anuncios patrocinados en Google que aparecen al buscar herramientas populares como GitHub Desktop. Al hacer clic, los usuarios son redirigidos a páginas de commits en GitHub que aparentan ser legítimas, ya que conservan los nombres, descripciones y metadatos de repositorios reales. Sin embargo, los enlaces han sido modificados para llevar a sitios externos controlados por los atacantes.

Este enfoque aprovecha la confianza inherente a GitHub y a los primeros resultados de búsqueda en Google para aumentar la efectividad de la campaña.

Evasión antianálisis: uso de GPU como validación

Uno de los aspectos más innovadores de GPUGate es su capacidad de evadir entornos de análisis y sandboxes de seguridad. El instalador malicioso tiene un peso exacto de 128 MB, superando el umbral típico de muchos entornos de análisis automático, lo cual retrasa o impide su ejecución en sandboxes.

Además, el malware contiene un mecanismo de descifrado que solo se activa si detecta una GPU física real. En concreto, busca un nombre de dispositivo de más de 10 caracteres, lo cual excluye muchas máquinas virtuales y laboratorios de análisis. En ausencia de una GPU válida, el malware no se descifra ni se ejecuta, dificultando así su detección.

Impacto y objetivos: robo, persistencia y ransomware

El objetivo final de la campaña es el acceso inicial a redes corporativas para facilitar:

• Robo de credenciales
• Exfiltración de datos sensibles
• Despliegue de ransomware

Una vez ejecutado, el malware lanza un script de PowerShell diseñado para:

• Escalar privilegios hasta nivel administrador
• Establecer persistencia en el sistema
• Desactivar y evadir mecanismos como Windows Defender

Riesgo activo y evolución

Los analistas han identificado señales de actividad de esta campaña desde diciembre de 2024, lo que sugiere una operación cuidadosamente mantenida y en constante evolución. Su foco en personal técnico con altos privilegios hace que el potencial de daño a infraestructuras empresariales sea elevado.

Recomendaciones para profesionales de seguridad

• Evita instalar software desde anuncios patrocinados. Dirígete siempre directamente al dominio oficial del proveedor.
• Monitorea conexiones salientes a dominios inusuales desde equipos de TI.
• Implementa soluciones EDR con capacidades avanzadas de análisis de comportamiento.
• Aísla el entorno de pruebas de malware con GPUs reales si es necesario.
• Desactiva la ejecución de scripts no firmados por defecto en entornos Windows.