La unidad de investigación de SILIKN confirmó que organizaciones mexicanas continúan siendo blanco de una campaña cibercriminal sostenida, atribuida al grupo Greedy Sponge. Este colectivo, motivado por fines económicos, ha estado activo desde 2021 y ha dirigido sus operaciones casi exclusivamente a México, enfocándose en sectores como la banca, el comercio y, especialmente, las instituciones gubernamentales.

La estrategia del grupo gira en torno al uso de versiones modificadas de los programas maliciosos AllaKore RAT y SystemBC, herramientas que han sido clave en el robo de credenciales bancarias y la ejecución de fraudes financieros. Estas amenazas se han mantenido operativas mediante el uso de técnicas como phishing, descargas drive-by, instaladores MSI troyanizados y ataques a la cadena de suministro. Su infraestructura de comando y control está ubicada en Dallas, Texas, pero mantiene conexiones activas en México, lo que demuestra un conocimiento profundo del entorno local.

Aunque Greedy Sponge no cuenta con el nivel técnico de grupos respaldados por gobiernos, su constancia, el uso de nombres y señuelos en español, y su habilidad para evadir defensas lo convierten en una amenaza significativa.

Durante más de cuatro años, el grupo ha comprometido a un amplio espectro de víctimas: desde empresas agrícolas, instituciones bancarias y compañías de transporte, hasta organizaciones de entretenimiento y dependencias gubernamentales. En este último rubro, el Instituto Mexicano del Seguro Social (IMSS) ha sido señalado como una víctima frecuente y confirmada de estas campañas maliciosas.

Según la unidad de investigación de SILIKN, el IMSS ha sido aprovechado por Greedy Sponge como señuelo en campañas de phishing, dado su acceso a una vasta cantidad de datos personales de millones de ciudadanos. Esta dependencia representa un blanco atractivo por su infraestructura crítica y la sensibilidad de la información que maneja. En sus campañas, los atacantes han utilizado nombres de archivos en español y sitios falsificados que imitan la apariencia del IMSS, lo cual refuerza la efectividad de sus engaños.

La reiterada explotación del IMSS evidencia su vulnerabilidad y la necesidad de medidas inmediatas. La unidad de investigación de SILIKN recomienda enfáticamente invertir en programas de concientización sobre phishing, reforzar el monitoreo de sistemas críticos y aplicar políticas estrictas de control de software. Asimismo, advierte que otras instituciones públicas con infraestructura similar también podrían convertirse en blancos prioritarios si no se refuerzan las defensas digitales.

La continuidad de estos ataques se debe, en gran parte, a la falta de mejoras relevantes en la infraestructura tecnológica del país, especialmente dentro del sector público. Esta carencia ha permitido a los atacantes establecer un modelo operativo sólido y sostenible. Incluso cuando se implementan ciertos ajustes, el grupo responde rápidamente con versiones actualizadas de su malware, asegurando la persistencia de sus campañas.

La longevidad operativa de Greedy Sponge sugiere un elevado nivel de eficacia. Han desarrollado un enfoque que les ofrece resultados constantes y, por ello, han decidido mantenerlo sin modificaciones importantes. De hecho, a lo largo de todas sus campañas, han conservado los mismos modelos de infraestructura, lo que refuerza la idea de que su metodología sigue siendo rentable y difícil de detectar.

El corazón técnico de esta operación es AllaKore RAT, un troyano refinado que permite el control remoto de sistemas comprometidos. Este software puede registrar pulsaciones de teclado, capturar pantallas, cargar y descargar archivos. Las versiones más recientes han sido optimizadas para interceptar credenciales bancarias y códigos de autenticación de un solo uso (OTP), que posteriormente se transmiten a servidores remotos para su explotación fraudulenta.

El proceso de infección suele comenzar con correos electrónicos de phishing o archivos ZIP maliciosos enviados a través de enlaces comprometidos. Un ejemplo concreto es el archivo “Actualiza_Policy_v01.zip”, que contiene un ejecutable legítimo de Chrome Proxy junto con un instalador MSI manipulado que esconde el código malicioso.

Una vez ejecutado, este archivo activa un cargador .NET que descarga la carga útil desde una dirección remota. Posteriormente, se ejecuta un script en PowerShell que elimina rastros del ataque. Enseguida se lanza AllaKore RAT, que puede descargar SystemBC si el atacante lo considera necesario. SystemBC convierte el dispositivo comprometido en un nodo proxy compatible con el protocolo SOCKS5, permitiendo a los atacantes mantener el control y comunicarse con servidores de comando y control (C2) de forma encubierta.

Desde mediados de 2024, el grupo ha implementado mecanismos más avanzados de geofiltrado. Anteriormente, este filtro —centrado en limitar los ataques al territorio mexicano— se aplicaba desde el lado del cliente, dentro del cargador del archivo MSI. Ahora, esta funcionalidad se ha trasladado al servidor, lo que dificulta que analistas internacionales estudien el comportamiento del malware y refuerza la orientación exclusivamente geográfica de la campaña.

En paralelo a estas amenazas, la unidad de investigación de SILIKN ha observado otras campañas activas. En mayo de 2025, se detectó una operación de phishing que utilizaba Ghost Crypt como herramienta de ocultamiento de malware. En este caso, el archivo malicioso se distribuía en formato PDF y redirigía a una carpeta en Zoho WorkDrive, donde se alojaba un cargador cifrado de PureRAT. Los atacantes instaban a las víctimas a abrir el documento, lo que provocaba la inyección de un archivo DLL en el proceso “csc.exe” del sistema operativo Windows mediante una técnica conocida como hipnosis de procesos.

Ghost Crypt, descubierto en foros clandestinos en abril de 2025, es capaz de eludir las defensas de Microsoft Defender y es compatible con diversas familias de malware. Entre estas se incluyen infostealers como Lumma, StealC y Rhadmanthys, además de troyanos de acceso remoto como XWorm, DCRat y BlueLoader.

También se ha identificado una nueva variante del Neptune RAT (o MasonRAT), distribuida mediante archivos señuelo en JavaScript. Este malware está diseñado para robar información sensible, registrar teclas presionadas, capturar pantallas, instalar clippers (software que altera el contenido del portapapeles) y descargar DLL adicionales.

En otros casos recientes, los atacantes han recurrido a instaladores maliciosos creados con Inno Setup como vector de entrada. Estos activan el Hijack Loader (o IDAT Loader), que a su vez despliega en el sistema el infame RedLine Stealer, especializado en la recolección de credenciales y datos personales. Esta técnica imita los métodos del extinto D3F@ck Loader, incluyendo la ejecución de cargas útiles a través de scripts en lenguaje Pascal.

Las actividades de Greedy Sponge reflejan una combinación alarmante de resiliencia operativa, adaptación táctica y persistencia técnica. Han logrado mantenerse activos durante años gracias a ajustes mínimos en sus métodos e infraestructura, lo que dificulta su detección y contención.

En este contexto, el gobierno de México se ha consolidado como un laboratorio de pruebas para la ciberdelincuencia exhibiendo una preocupante falta de resistencia estructural ante amenazas conocidas y persistentes. El caso del IMSS es solo una muestra de lo vulnerable que pueden ser las instituciones públicas sin una estrategia integral de ciberseguridad.