Por Mid 
GPUGate: el malware que abusa de la confianza en Google y GitHub
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Intermedia
Conclusiones clave
- GPUGate utiliza anuncios en Google y repositorios de GitHub para engañar a los usuarios.
- El malware tiene un diseño sofisticado que evita ser detectado por herramientas de seguridad.
- El objetivo es comprometer redes corporativas para el robo de credenciales y exfiltración de datos.
- La campaña se atribuye a un grupo de amenazas de origen ruso, que ataca a profesionales de TI en Europa Occidental.
- Los ataques han estado activos desde al menos diciembre de 2024, evolucionando continuamente.
Índice
Introducción
En el ámbito de la ciberseguridad, ha surgido una campaña maliciosa conocida como GPUGate, que explota tanto anuncios en Google como la infraestructura de repositorios de GitHub para engañar a los usuarios y diseminar software dañino. Gracias a su reconocida reputación, los atacantes logran mejorar la credibilidad de sus engaños. De acuerdo con el Arctic Wolf Cybersecurity Operations Center, se atribuye esta actividad a un grupo de amenazas de origen ruso, enfocándose en profesionales de TI en Europa Occidental, un grupo que típicamente posee acceso privilegiado a las redes de las empresas.
Método de ataque
El ataque se inicia con anuncios promocionados en Google, que aparecen al buscar aplicaciones como GitHub Desktop. Dichos anuncios redirigen a páginas de commits dentro de GitHub que parecen legítimas, manteniendo tanto el nombre como los metadatos del repositorio, aunque los enlaces incluidos llevan a dominios bajo el control de los atacantes.
Sofisticación del malware
Lo que realmente distingue a GPUGate es su sofisticado método de evasión. El instalador inicial es un archivo de 128 MB diseñado específicamente para evadir las sandboxes de seguridad que suelen tener restricciones en cuanto al tamaño de los archivos. Además, incorpora un mecanismo de descifrado que únicamente se activa si detecta una GPU física real con un nombre de dispositivo que supera los diez caracteres. En el caso de entornos virtuales o máquinas de análisis, la carga maliciosa se mantiene cifrada y sin acción, lo que reduce considerablemente las probabilidades de ser detectada durante análisis de seguridad.
Objetivo final de la campaña
El propósito final de esta campaña es lograr el acceso inicial a redes corporativas con el fin de llevar a cabo actividades como el robo de credenciales, la exfiltración de datos o la implementación de ransomware. Al ejecutarse, el malware utiliza un script de PowerShell para obtener privilegios de administrador, establecer persistencia y evitar la detección por parte de Windows Defender. Los expertos han señalado que esta campaña ha estado activa desde al menos diciembre de 2024, representando una amenaza que continúa evolucionando.
Conclusión
La evolución de GPUGate destaca la importancia de una vigilancia constante y estrategias de ciberseguridad robustas para protegerse contra amenazas emergentes que se aprovechan de la confianza en plataformas bien establecidas como Google y GitHub.