Image by Danny Burke, from Unsplash
Los Hackers Utilizan Herramienta de Microsoft para Infiltrarse en la Infraestructura de Petróleo y Gas
Tiempo de lectura: 2 min.
Actualizado por última vez: Jun 30, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Las investigadoras descubrieron una campaña de malware sigilosa que ataca los sistemas de energía a través de la ofuscación en la nube de Microsoft ClickOnce y la potente puerta trasera conocida como RunnerBeacon
¿Apurada? Aquí están los datos rápidos:
- OneClik se dirige a las industrias de energía, petróleo y gas a través de phishing y malware.
- El malware se esconde en Microsoft ClickOnce para eludir las alertas de los usuarios.
- La puerta trasera RunnerBeacon utiliza la nube de Amazon para evitar su detección.
El equipo de investigación de Trellix identificó un nuevo ciberataque llamado “OneClik”, que utiliza métodos sofisticados para infiltrarse en los sistemas de seguridad de las empresas de energía y petróleo y gas.
Los atacantes utilizan correos electrónicos de phishing para realizar ataques que utilizan la aplicación Microsoft ClickOnce con el fin de engañar a los usuarios para que instalen software perjudicial a través de una herramienta falsa de análisis de hardware.
La víctima abre el enlace que desencadena la descarga de una herramienta falsa antes de que ‘‘dfsvc.exe’’ la ejecute. El proceso legítimo de Windows acepta malware oculto mediante técnicas de programación avanzadas.
Una vez dentro, el malware instala una puerta trasera llamada “RunnerBeacon”, que se conecta silenciosamente a servidores controlados por hackers disfrazados de servicios en la nube de Amazon, lo que hace que sea casi imposible de detectar.
Los investigadores señalan que el RunnerBeacon, escrito en el lenguaje de programación Go, es altamente avanzado. De hecho, puede ejecutar comandos, robar archivos, tomar el control del tráfico de la red e incluso esconderse de los investigadores utilizando herramientas anti-depuración y controles del sistema.
Las investigadoras informan que el malware evoluciona a través de tres versiones, cada una mejorando su capacidad para evitar la detección, incluyendo el escaneo para determinar si se está ejecutando en un entorno virtual seguro.
La infraestructura de OneClik está diseñada para integrarse con el tráfico legítimo de la nube. Los servicios de Amazon CloudFront y Lambda operan como herramientas de red corporativa de confianza para ocultar las comunicaciones del malware.
Además, el enfoque de “vivir de la tierra” permite capacidades evasivas al integrarse en las actividades digitales diarias, lo que dificulta más su detección.
Los investigadores dicen que no pueden confirmar la identidad detrás de OneClik, sin embargo, la operación cibernética demuestra una estrategia sofisticada y prolongada que apunta a sistemas de infraestructura crítica.
Artículo anterior
Artículos más recientes 
