Select your country

Belgium

China

Denmark

France

Germany

Maghreb & West Africa

Netherlands

Norway

South Africa

Spain

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Buscar

  1. España
  2. Recursos
  3. Noticias
  4. Operación Endgame: redada contra SocGholish
| Noticias

Operación Endgame: redada contra SocGholish

Lors expertos del CERT de Orange Cyberdefense

Compartir

Lo essencial

  • Una nueva redada, llevada a cabo en el marco de la Operación Endgame este 18 de junio de 2026, ha permitido neutralizar más de 14.971 sitios, desmantelar servidores C2 ilícitos y reducir significativamente la actividad cibercriminal vinculada al uso de la herramienta maliciosa SocGholish. ; 
  • SocGholish, una herramienta de descarga maliciosa basada en JavaScript, actúa como Initial Access Broker (IAB) para obtener un primer acceso a las redes: compromete sitios web legítimos mediante vulnerabilidades o credenciales robadas, y luego despliega distintas capas de malware ; 
  • A pesar de esta redada, la amenaza sigue presente, con una capacidad de adaptación cada vez mayor por parte de los cibercriminales, lo que exige vigilancia continua, actualizaciones regulares de los sistemas y una colaboración reforzada entre el sector público y el privado. En este contexto, apoyarse en una experiencia y una inteligencia de la amenaza en profundidad es un activo importante para las autoridades y las fuerzas del orden.

Un análisis profundo de un ataque por acceso inicial muy extendido

El 18 de junio de 2026, una acción en el terreno contra la ciberdelincuencia, en el marco de la Operación Endgame(1), frenó fuertemente una de las amenazas de ciberseguridad más dañinas: SocGholish.

Esta operación, en coordinación con las autoridades de Países Bajos, Canadá, Estados Unidos y Alemania, permitió poner remedio a la compromisión de más de 14.971 sitios web y dejar fuera de servicio servidores de mando y control (C2) pertenecientes a cibercriminales motivados por el dinero.

Es importante volver a poner en contexto esta redada para apreciar plenamente su impacto. Este artículo propone un análisis profundo de SocGholish, una amenaza que el CERT de Orange Cyberdefense sigue desde hace años, y pone de relieve sus métodos, su lugar dentro del ecosistema de la ciberdelincuencia, así como lo que significa esta disrupción para los defensores.

Más que un malware: ¿qué es SocGholish?

Antes que nada, es importante aclarar que SocGholish no suele ser, en general, la última etapa de una intrusión. Se trata principalmente de un herramienta de descarga basada en JavaScript. Su operador principal — un actor malicioso rusófono, motivado por el afán de lucro — actúa como Initial Access Broker (IAB) (o corredor/ intermediario de acceso inicial). Es decir, su función es proporcionar el primer acceso dentro de las redes comprometidas para habilitar pasos posteriores. Este grupo es conocido en el sector de la ciberseguridad bajo distintos pseudónimos: TA569, UNC1543, Mustard Tempest y GOLD PRELUDE.

 

La cartographie IAB socgholish

El enfoque IAB: simple pero eficaz

Estos cibercriminales se especializan en obtener el primer acceso a las redes de empresas y a redes personales, para luego revender dicho acceso a otros grupos delictivos. A continuación, esos “clientes” despliegan sus propias cargas maliciosas, como ransomwares, spyware o troyanos bancarios.

En esencia, SocGholish se sitúa al inicio de la cadena de ataque cibernético, y no en la fase final. Activo desde al menos 2017, su longevidad y su uso generalizado lo han convertido en una pieza clave de la economía del “ciberdelito como servicio” (Cybercrime as a Service o CaaS).

Anatomía de un ataque con SocGholish

Los equipos del CSIRT de Orange Cyberdefense han tenido la oportunidad de documentar la cadena de infección utilizada por TA569, caracterizada por una gran coherencia y que se apoya en gran medida en la ingeniería social. A continuación, se describen las diferentes etapas.

  • Etapa 1 : La compromisión del sitio web

La agresión comienza con la compromisión de sitios web legítimos. TA569 explota vulnerabilidades conocidas en sistemas de gestión de contenidos (CMS) populares como WordPress, Joomla y Drupal, o bien utiliza credenciales robadas para inyectar código JavaScript malicioso en sus páginas. Dado que el 43 % de los sitios web se alimentan con WordPress, la superficie de ataque potencial es enorme. Los sitios comprometidos pueden ir desde restaurantes locales hasta organizaciones de prensa nacionales.

  • Etapa 2 : El engaño de la falsa actualización

Cuando un usuario visita un sitio comprometido, el script inyectado se ejecuta. Sin embargo, el “anzuelo” no se muestra a todo el mundo. Los operadores emplean una combinación de sistemas de gestión del tráfico (TDS) para el georreferenciado y el filtrado por navegador/IP, con el fin de mantenerse muy selectivos. Esto significa que la ventana emergente maliciosa solo se entrega a objetivos concretos, lo que reduce la visibilidad de estos ataques y dificulta la inspección automatizada mediante soluciones de seguridad, incluidos mecanismos de sandboxing de ficheros no avanzados.

Para un usuario atacado, el script muestra una alerta emergente convincente, aunque falsa, que incita a actualizar el navegador utilizado, por ejemplo, Google Chrome o Mozilla Firefox.

  • Etapa 3 : La ejecución del contenido malicioso

Si el usuario cae en el engaño y hace clic en el botón de descarga, se guarda en su equipo un archivo ZIP que contiene un archivo JavaScript malicioso. A continuación, se engaña al usuario para que lo ejecute, creyendo que está instalando una actualización legítima. Esta acción activa el descargador SocGholish, estableciendo una presencia en el sistema de la víctima.

  • Etapa 4 : Despliegue de otros malwares

Una vez activado, SocGholish se conecta a su infraestructura de Command and Control (C2) y despliega, en una segunda fase, varios otros malwares. Dentro de esta segunda oleada, se ha observado la presencia de descargadores como Gholoader y MintsLoader, que facilitan el despliegue de otros malwares aún más peligrosos:

- GhostWeaver: una puerta trasera de PowerShell que roba credenciales e información de formularios web relativos a monederos de criptomonedas.

- Ransomware : históricamente, SocGholish ha sido un punto de entrada clave para los afiliados de LockBit y se ha observado que conduce a despliegues de RansomHub.

- Troyanos de acceso remoto (RAT): se han desplegado AsyncRAT o NetSupport RAT para proporcionar a los atacantes control total sobre un sistema comprometido.

En conjunto, SocGholish utiliza un modelo de entrega en capas sucesivas y está en capacidad de proporcionar varios malwares en cascada.

Una fuerte comunidad ciberdelictiva underground, descentralizada y colaborativa

La actividad de SocGholish está vinculada a un ecosistema ciberdelictivo más amplio y fragmentado, en el que todas las etapas de un ciberataque —desde el acceso inicial hasta la monetización— pueden estar separadas entre distintos actores. Esta “cadena de suministro ciberdelictiva” sitúa a perfiles como corredores de acceso inicial (IAB), operadores de Sistemas de Distribución del Tráfico (TDS) y grupos de ransomware en roles específicos e interconectados.

  • Una alianza bien establecida : El vínculo entre SocGholish y el notorio sindicato de ciberdelincuencia ruso Evil Corp se volvió a mencionar en el comunicado de prensa de la Operación Endgame.
  • Servicios especializados : para maximizar su alcance, TA569 colabora con otros actores, como TA2726, que opera un Sistema de Distribución del Tráfico (TDS). Este servicio ayuda a filtrar y redirigir a las víctimas hacia la cadena de infección de SocGholish, optimizando así el proceso para los atacantes.
  • El efecto “copycat” : el modelo de ataque basado en falsas actualizaciones ha generado “imitadores”. Grupos como TA2727 utilizan inyecciones de JavaScript similares y señuelos para distribuir sus propios malwares, incluidos ladrones de información como Lumma y DeerStealer. Estos nuevos actores que explotan un modelo comercial parecido dificultan la atribución y muestran la adopción generalizada y la eficacia de estas técnicas.

Las consecuencias de la Operación Endgame y las recomendaciones de Orange Cyberdefense

Las acciones emprendidas durante la Operación Endgame han puesto un freno importante a este tipo de actividades maliciosas. Con la remediación de 14 971 sitios web, el desmantelamiento de los servidores de C2 y la suspensión (incautación) de dominios web, las fuerzas del orden atacaron directamente la infraestructura del grupo.

Aunque estos golpes no siempre logran poner fin por completo a las acciones maliciosas, incrementan el coste y el nivel de pericia necesarios para llevar a cabo sus ataques, y permiten a los equipos defensivos reforzar su ciberseguridad. Con base en nuestras investigaciones y en los consejos de las fuerzas del orden, formulamos las siguientes recomendaciones:

Para los administradores de sitios web :

  • Actualizar tu CMS: mantenga el CMS (WordPress, Joomla, etc.), los plugins y los temas constantemente al día para evitar la explotación de vulnerabilidades.

  • Reforzar los accesos (logins): refuerce todas las contraseñas administrativas y evite usar credenciales por defecto o fáciles de adivinar.

  • Activar la autenticación multifactor (MFA): configure la MFA para añadir una capa de seguridad esencial que impida el acceso no autorizado en caso de robo de credenciales

  • Auditar las cuentas: compruebe periódicamente y elimine cualquier cuenta de usuario desconocida o sospechosa en la administración de su sitio.

Para los usuarios finales:

  • Desconfiar de los pop-ups: no confíe nunca en una actualización de software que provenga de una ventana emergente del navegador.
  • Usar fuentes oficiales: las actualizaciones de su navegador, sistema operativo o aplicaciones deben proceder de canales oficiales, de sus proveedores de software o de las tiendas de aplicaciones. No de un sitio web aleatorio de su sistema.

Para los equipos de seguridad:

  • Basarse en la inteligencia de amenazas: la infraestructura de C2 de SocGholish cambia con frecuencia; se observa un recambio de servidores cada dos a cinco días.
  • Suscribirse a fuentes de inteligencia sobre amenazas, como las proporcionadas por Orange Cyberdefense, es crucial para bloquear conexiones hacia nuevos dominios y direcciones IP maliciosas.

Derrotar el ciberdelito moderno aprovechando la inteligencia sobre amenazas (cyber threat intelligence)

SocGholish representa una amenaza resiliente, sofisticada y altamente eficaz, situada en el punto de intersección de la economía del ciberdelito moderno, interconectada. La Operación Endgame ha intentado nuevamente interrumpir a un IAB crítico y ha protegido a innumerables víctimas potenciales.

Sin embargo, los actores detrás de estas amenazas se caracterizan por su capacidad de adaptación. Aunque esta operación ha cerrado un capítulo importante sobre las actividades de SocGholish, esperamos plenamente que TA569 y sus clientes se reagrupe, reconfigure su enfoque y trate de reconstruir su infraestructura. El CERT de Orange Cyberdefense continuará con su labor de monitorización para ofrecer una defensa proactiva frente a este tipo de amenazas, y seguirá impulsando la colaboración público-privada, que continúa siendo la respuesta más poderosa.

Fuentes y notas

(1) Iniciada en 2024, la Operación Endgame constituye la mayor iniciativa internacional jamás llevada a cabo para combatir los ransomware y la ciberdelincuencia a escala mundial. Reúne a las autoridades judiciales y a los servicios policiales especializados de Países Bajos, Alemania, Dinamarca, Estados Unidos, Australia, Francia, Bélgica, Reino Unido y Canadá, con el apoyo de Europol y Eurojust. Gracias a una estrecha cooperación internacional, estos socios coordinan sus acciones para perturbar las redes ciberdelictivas y desmantelar sus infraestructuras. La iniciativa también se apoya en la colaboración con actores del sector privado, en el marco de un esfuerzo conjunto para reforzar la seguridad y la resiliencia del ecosistema digital frente a las ciberamenazas.