La telemetría de WatchGuard identificó una reciente y peligrosa actividad del grupo de ransomware conocido como BianLian.
Esta campaña de phishing utiliza archivos de imagen en formato SVG para infiltrarse en empresas ubicadas principalmente en Venezuela.
Los correos electrónicos maliciosos suelen utilizar nombres en español que hacen referencia directa a facturas, recibos o presupuestos urgentes.
El formato SVG es ideal para este engaño, ya que permite contener código XML ejecutable de forma oculta.
Al abrir estas imágenes, el sistema se comunica con una URL externa que descarga el artefacto dañino.
Esta táctica ya se observó previamente en campañas dirigidas al sistema judicial de Colombia.
El objetivo de los atacantes es optimizar la extorsión mediante el acceso a datos corporativos regulados.
Vectores de ataque y vulnerabilidades en la región
La campaña comienza con una acción de phishing diseñada para engañar al usuario y lograr la descarga del malware.
Los criminales utilizan el acortador ja.cat para redirigir tráfico desde dominios legítimos que presentan fallos de seguridad.
Se detectó que varios de estos dominios afectados por redirecciones pertenecen a entidades en Brasil.
Una vez que el archivo se ejecuta, el código recupera funciones críticas de exportación como LoadLibraryExA.
Estas bibliotecas DLL se cargan dinámicamente durante el tiempo de ejecución para evitar la detección de los antivirus.
El malware también registra manejadores de excepciones para asegurar que la carga útil permanezca activa.
El uso de funciones como SetErrorMode impide que el sistema muestre cuadros de diálogo de error sospechosos.
Técnicas avanzadas de evasión y persistencia del malware
Una pieza fundamental en la estructura de esta amenaza es la carga de la biblioteca ws2_32.dll.
Esta función se encarga de gestionar la comunicación de red del virus con sus servidores de control.
Asimismo, el uso de powrprof.dll permite al atacante recibir notificaciones cuando el sistema entra en modo de suspensión.
El malware aprovecha estos estados de reposo porque las soluciones de seguridad suelen estar menos activas en ese momento.
Se confirmó que el código utiliza variables de entorno específicas del lenguaje de programación Go.
El acceso a funciones como RtlGenRandom permite generar números pseudoaleatorios necesarios para sus procesos internos de cifrado.
Todas estas acciones coinciden con los reportes técnicos que vinculan la operación al grupo BianLian.
Evolución del grupo criminal BianLian y tácticas de cifrado
BianLian es un grupo de cibercrimen activo desde 2022, especializado en la distribución de virus y la extorsión de datos.
Aunque inicialmente atacaron infraestructuras críticas en los Estados Unidos y Australia, ahora se diversificaron hacia múltiples sectores.
Los artefactos analizados muestran una rutina capaz de detectar si el sistema se ejecuta en un entorno Wine.
El código incluye técnicas de antidepuración para dificultar enormemente el trabajo de los analistas de seguridad informática.
Una característica distintiva de este grupo es el uso de funciones AES implementadas directamente en lenguaje ensamblador.
Esto permite acelerar el proceso de cifrado de archivos una vez que tomaron control del equipo.
La velocidad del ataque reduce drásticamente el tiempo de respuesta de las víctimas afectadas.
Recomendaciones críticas para la protección empresarial ante SVG
Esta campaña revela que archivos aparentemente inofensivos, como las imágenes SVG, pueden ocultar amenazas de gravedad extrema.
Las organizaciones deben tratar con máxima precaución cualquier archivo adjunto inesperado que llegue por correo electrónico.
Es fundamental reforzar las defensas en los puntos finales y supervisar constantemente las conexiones salientes hacia dominios desconocidos.
Comprender cómo llega el ransomware a la víctima es el primer paso para detener la cadena de ataque.
La formación de los empleados en ciberseguridad es vital para identificar los correos de phishing antes de abrirlos.
El monitoreo proactivo del tráfico de red puede alertar sobre la descarga de artefactos de BianLian.
La protección de datos hoy depende de no subestimar ningún formato de archivo digital.
