Guillem Alsina Gonzàlez
Este pasado mes de febrero, el equipo de Respuesta ante Incidentes de WithSecure acudió a un proveedor europeo de servicios de TI tras un ataque de ransomware que había bloqueado varios servidores de VMware ESXi. Durante el análisis, los especialistas hallaron un cargador (loader) de malware inédito integrado en una copia aparentemente legítima de KeePass, un gestor de contraseñas de código abierto muy popular.
Bautizado como KeeLoader, el instalador alterado funcionaba con normalidad, pero también desplegaba una baliza del grupo de ciberdelincuentes Cobalt Strike, que exportaba en texto claro las bases de datos de contraseñas.
La investigación fue siguiendo las pistas hasta reconstruir una campaña que se había prolongado durante varios meses, deduciendo que los atacantes recompilaron KeePass con certificados de confianza, y promocionaron el instalador malicioso mediante anuncios en Bing que redirigían a sitios web falsos. De este modo engañaron a administradores y usuarios avanzados que buscaban descargar la última versión del popular gestor de contraseñas, una herramienta que, de otra manera, es totalmente fiable.
Una vez ejecutado, KeeLoader conservaba todas las funciones habituales de KeePass, lo que dificultaba su detección inmediata. Sin embargo, y en segundo plano, contactaba con el centro de control de Cobalt Strike y transfería la base de datos de contraseñas corporativas, incluidas cuentas de dominio, claves de vSphere y credenciales de copias de seguridad.
De las contraseñas al hipervisor: la ruta de la intrusión
Con las contraseñas en su poder, los intrusos se movieron con rapidez escalando privilegios, desactivando la autenticación multifactor, y desplegando la carga de ransomware directamente sobre los hipervisores ESXi, sin necesidad de tocar las máquinas virtuales alojadas. El resultado fue un cifrado simultáneo, y a gran escala, de los almacenes de datos que interrumpió los servicios del proveedor.
Expertos de Sectigo califican la operación como un ejemplo de ataque basado en identidad: al transformar un gestor de contraseñas fiable en herramienta de exfiltración, los atacantes anularon los controles perimetrales y deshabilitaron las copias de seguridad de Veeam.
Desde Apono se subraya que la combinación de credenciales no gestionadas y cuentas con privilegios excesivos sigue siendo un habilitador clave de las campañas de ransomware modernas.
El caso pone el foco en los riesgos derivados de descargar software desde fuentes no verificadas. Entre las medidas que podemos recomendar desde estas líneas, destacan la descarga exclusiva desde repositorios oficiales, el refuerzo con soluciones EDR y PAM, y la adopción de las arquitecturas de zero trust y zero-knowledge cuando intervienen credenciales sensibles.
Para los responsables de TI, como los administradores de sistemas o los CISOs, la lección es clara: la cadena de confianza del software merece la misma atención que la gestión de identidades, ya que un único instalador fraudulento basta para desmontar las barreras defensivas y convertir un activo esencial —el gestor de contraseñas— en instrumento de ataque.
