‘Malware’ espía estaría afectando a periodistas, entidades del gobierno y estudiantes universitarios en Colombia: así funciona

Google Chrome, el navegador más utilizado en el mundo, enfrenta una situación crítica tras la identificación de una vulnerabilidad de día cero, catalogada como CVE-2025-2783, que permite a atacantes evadir el sandbox de seguridad del navegador y ejecutar acciones maliciosas en el sistema afectado.

Según un informe emitido por ColCERT, Grupo de Respuesta a Emergencias Cibernéticas de Colombia, esta falla no solo compromete a Google Chrome, sino también a otros navegadores basados en Chromium, como Microsoft Edge, Opera, Brave y Vivaldi.

Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel.

Esta vulnerabilidad es especialmente alarmante porque ha sido explotada activamente en una campaña de ciberespionaje etiquetada como “Operación ForumTroll”. Los ataques han sido dirigidos a periodistas, universidades y entidades gubernamentales, sectores que manejan información sensible, convirtiéndolos en objetivos prioritarios.

La explotación de esta falla incluye el uso de correos electrónicos maliciosos con enlaces de phishing o documentos adjuntos que contienen código malicioso, lo que permite a los atacantes tomar control de los dispositivos comprometidos y robar información confidencial.

Uno de los elementos clave en esta operación es el troyano avanzado StilachiRAT, utilizado para consolidar los ataques. Este software malicioso opera como una herramienta de acceso remoto (RAT) y se ha relacionado directamente con la explotación de la vulnerabilidad en Chrome.

Una vez instalado, StilachiRAT actúa de forma silenciosa, permitiendo a los atacantes el robo de credenciales de usuarios, contraseñas almacenadas, cookies de sesión y claves de billeteras criptográficas. Además, permite la captura de pantalla y exfiltración de datos hacia servidores controlados por los atacantes.

De acuerdo con el flujo de infección documentado, el proceso comienza con la recepción de un correo electrónico diseñado meticulosamente para parecer genuino. Cuando el usuario hace clic en un enlace malicioso o descarga un archivo adjunto, el troyano evade el sandbox de Chrome para instalarse en el sistema.

A partir de ese momento, StilachiRAT establece persistencia y recopila información que es enviada a servidores remotos utilizando canales cifrados a través de Http(s).

Entre los archivos específicos que busca StilachiRAT están las bases de datos de contraseñas de Chrome, las cookies almacenadas en el navegador y claves de billeteras digitales localizadas en los directorios %Appdata% y %Localappdata%.

Google ha lanzado una actualización urgente destinada a abordar esta vulnerabilidad. Se recomienda actualizar de inmediato a la versión 134.0.6998.88/.89 o superior de Chrome en todas las plataformas (Windows, Mac y Linux).

En algunos casos, la actualización automática puede no ejecutarse correctamente, por lo que los expertos sugieren realizar el proceso manualmente. Para hacerlo, los usuarios deben abrir el navegador, hacer clic en el icono de tres puntos en la esquina superior derecha, acceder a “Ayuda” y luego a “Información de Google Chrome”. Una vez iniciada, la actualización se descargará automáticamente, y será necesario reiniciar el navegador para que los cambios surtan efecto.

Además, desde ColCERT y otras fuentes como Microsoft, se hacen sugerencias específicas para diferentes roles:

• Usuarios finales: Evitar hacer clic en enlaces o correos sospechosos y mantener el navegador y el software antivirus actualizados.
• Administradores de sistemas: Imponer actualizaciones obligatorias a través de políticas de grupo, monitorear actividades inusuales en los dispositivos, aislar equipos que no hayan sido actualizados y realizar actualizaciones manuales cuando sea necesario.

El modus operandi de StilachiRAT incluye la ejecución de código embebido en PowerShell, la enumeración de procesos y redes en el dispositivo comprometido, además de la transmisión sigilosa de información a través de canales cifrados.

La amenaza no es exclusiva de Chrome. Los navegadores basados en Chromium comparten la misma arquitectura, lo que los hace igualmente vulnerables. Por esta razón, la alerta exige una respuesta inmediata y coordinada para mitigar el impacto potencial de los ataques.

El descubrimiento de esta vulnerabilidad pone de manifiesto los riesgos inherentes al uso de software desactualizado. La campaña de ciberespionaje “Operación ForumTroll” ha demostrado como actores avanzados de amenazas pueden aprovechar fallas en sistemas ampliamente utilizados para infiltrarse en organizaciones sensibles y acceder a datos críticos.

Según un informe publicado por Microsoft Incident Response, los atacantes han logrado establecer persistencia en entornos comprometidos mientras siguen siendo difíciles de rastrear.