Se ha atribuido a una banda de ciberdelincuentes conocida como Black Cat una campaña de envenenamiento de optimización de motores de búsqueda (SEO) que emplea sitios fraudulentos que anuncian software popular para engañar a los usuarios para que descarguen una puerta trasera capaz de robar datos confidenciales.
Según un informe Publicada por el Equipo Técnico/Centro de Coordinación de Respuesta a Emergencias de la Red Informática Nacional de China (CNCERT/CC) y Beijing Weibu Online (también conocido como ThreatBook), la actividad está diseñada para impulsar estratégicamente sitios falsos a la cima de los resultados de búsqueda en motores de búsqueda como Microsoft Bing, dirigido específicamente a usuarios que buscan programas como Google Chrome, Notepad++, QQ International e iTools.
«Después de visitar estas páginas de phishing de alto rango, los usuarios son atraídos por páginas de descarga cuidadosamente construidas, intentando descargar paquetes de instalación de software empaquetados con programas maliciosos», dijeron CNCERT/CC y ThreatBook. «Una vez instalado, el programa implanta un troyano de puerta trasera sin el conocimiento del usuario, lo que lleva al robo de datos confidenciales del ordenador anfitrión por parte de los atacantes».
Se estima que Black Cat está activo desde al menos 2022, orquestando una serie de ataques diseñados para el robo de datos y el control remoto mediante malware distribuido a través de campañas de envenenamiento de SEO. En 2023, se dice que el grupo robó al menos 160.000 dólares en criptomonedas haciéndose pasar por AICoin, una popular plataforma de comercio de divisas virtual.
En el último conjunto de ataques, los usuarios que buscan Notepad++ reciben enlaces a un sitio de phishing convincente que se hace pasar por asociado con el programa de software («cn-notepadplusplus[.]com»). Otros dominios registrados por Black Cat incluyen «cn-obsidian[.]com», «cn-winscp[.]com» y «notepadplusplus[.]cn.»
La inclusión de «cn» en los nombres de dominio indica que los actores de amenazas están específicamente persiguiendo a usuarios chinos que pueden estar buscando dichas herramientas a través de motores de búsqueda.
Si los usuarios desprevenidos terminan haciendo clic en el botón «descargar» en el sitio web falso, son redirigidos a otra URL que imita a GitHub («github.zh-cns[.]top») desde donde se puede descargar un archivo ZIP. Dentro del archivo ZIP hay un instalador que crea un acceso directo en el escritorio del usuario. El acceso directo actúa como punto de entrada para descargar una DLL maliciosa que, a su vez, inicia la puerta trasera.
El malware establece contacto con un servidor remoto codificado («sbido[.]como:2869«), permitiéndole robar datos del navegador web, registrar pulsaciones de teclas, extraer contenidos del portapapeles y otra información valiosa del host comprometido.
CNCERT/CC y ThreatBook señalaron que el sindicato de delitos cibernéticos Black Cat ha comprometido alrededor de 277.800 hosts en toda China entre el 7 y el 20 de 2025, con el mayor número diario de máquinas comprometidas dentro del país alcanzando un máximo de 62.167.
Para mitigar el riesgo, se recomienda a los usuarios que se abstengan de hacer clic en enlaces de fuentes desconocidas y se limiten a fuentes confiables para descargar software.
Fuente