Investigadores de ciberseguridad han documentado cuatro nuevos kits de phishing llamados BlackForce, GhostFrame, InboxPrime AI y Spiderman capaz de facilitar el robo de credenciales a gran escala.
BlackForce, descubierto por primera vez en agosto de 2025, está diseñado para robar credenciales y realizar ataques de hombre en el navegador (MitB) para capturar contraseñas de un solo uso (OTP) y evitar la autenticación multifactor (MFA). El kit se vende en los foros de Telegram por entre 200 € (234 dólares) y 300 € (351 dólares).
Según los investigadores de Zscaler ThreatLabz, Gladis Brinda R y Ashwathi Sasi, el kit se utilizó para hacerse pasar por más de 11 marcas, incluidas Disney, Netflix, DHL y UPS. Se dice que está en desarrollo activo.
“BlackForce tiene múltiples técnicas de evasión con una lista negra que filtra proveedores de seguridad, rastreadores web y escáneres”, dijo la compañía. “BlackForce sigue en desarrollo activo. La versión 3 estaba en uso generalizado a principios de agosto, y las versiones 4 y 5 se lanzaron en los meses siguientes”.
Se ha descubierto que las páginas de phishing asociadas con el kit utilizan archivos JavaScript con los llamados hashes de “eliminación de caché” en el nombre (por ejemplo, “index-(hash).js”), lo que obliga al navegador web de la víctima a descargar la última versión del script malicioso en lugar de utilizar una versión almacenada en caché.
En un ataque típico que utiliza el kit, las víctimas que hacen clic en un enlace son redirigidas a una página de phishing maliciosa. Luego, una verificación del lado del servidor filtra los rastreadores y los robots antes de mostrarles una página que pretende imitar un sitio web legítimo. Una vez que se ingresan las credenciales en la página, los detalles se capturan y envían en tiempo real a un bot de Telegram y a un panel de comando y control (C2) a través de un cliente HTTP llamado Axios.
Cuando el atacante intenta iniciar sesión en el sitio web legítimo utilizando las credenciales robadas, se activa un mensaje de MFA. En esta fase, las técnicas MitB se utilizan para mostrar una página de autenticación MFA falsa en el navegador de la víctima a través del panel C2. Si la víctima ingresa el código MFA en la página falsa, el actor de la amenaza lo recopilará y utilizará para obtener acceso no autorizado a su cuenta.
“Una vez que se completa el ataque, la víctima es redirigida a la página de inicio del sitio web legítimo, ocultando evidencia del ataque y asegurando que la víctima no esté al tanto del ataque”, dijo Zscaler.
GhostFrame impulsa más de 1 millón de ataques de phishing sigilosos
Otro kit de phishing emergente que ha ganado fuerza desde su descubrimiento en septiembre de 2025 es GhostFrame. El corazón de la arquitectura del kit es un archivo HTML simple que parece inofensivo, pero oculta su comportamiento malicioso en un iframe integrado, lo que lleva a las víctimas a una página de inicio de sesión de phishing para robar las credenciales de Microsoft 365 o de la cuenta de Google.
“El diseño del iframe también permite a los atacantes intercambiar fácilmente el contenido de phishing, probar nuevos trucos o atacar regiones específicas sin cambiar el sitio web principal donde se distribuye el kit”, dijo el investigador de seguridad de Barracuda, Sreyas Shetty. “Además, simplemente actualizando hacia dónde apunta el iframe, el kit puede evitar que sea detectado por herramientas de seguridad que solo verifican la página exterior”.
Los ataques que utilizan el kit GhostFrame comienzan con los típicos correos electrónicos de phishing que afirman ser sobre contratos comerciales, facturas y solicitudes de restablecimiento de contraseña, pero que tienen como objetivo redirigir a los destinatarios al sitio falso. El kit utiliza antianálisis y antidepuración para evitar intentos de inspeccionarlo utilizando herramientas de desarrollo del navegador y genera un subdominio aleatorio cada vez que alguien visita el sitio.
Los exteriores visibles tienen un script de carga que es responsable de configurar el iframe y responder a cualquier mensaje del elemento HTML. Esto puede incluir cambiar el título de la página principal para hacerse pasar por servicios confiables, cambiar el favicon del sitio o redirigir la ventana del navegador de nivel superior a un dominio diferente.
En la fase final, la víctima es redirigida a una página secundaria que contiene los componentes de phishing reales a través del iframe entregado a través del subdominio en constante cambio, lo que hace que la amenaza sea más difícil de bloquear. El kit también incluye un mecanismo de respaldo en forma de un iframe de respaldo que se agrega al final de la página en caso de que el cargador JavaScript falle o se bloquee.
El kit de phishing AI de InboxPrime automatiza los ataques por correo electrónico
Si BlackForce sigue la misma fórmula que otros kits de phishing tradicionales, InboxPrime AI va un paso más allá al aprovechar la inteligencia artificial (IA) para automatizar campañas de correo masivo. Se está promocionando en un canal de Telegram con 1.300 miembros bajo un modelo de suscripción de malware como servicio (MaaS) de 1.000 dólares, que ofrece a los compradores una licencia perpetua y acceso completo al código fuente.
“Está diseñado para imitar el comportamiento del correo electrónico de un ser humano real e incluso utiliza la interfaz web de Gmail para evitar los mecanismos de filtrado tradicionales”, dijeron los investigadores de anomalías Callie Baron y Piotr Wojtyla.
“InboxPrime AI combina inteligencia artificial con técnicas de evasión operativa, prometiendo a los ciberdelincuentes una capacidad de entrega casi perfecta, generación automatizada de campañas y una interfaz pulida y profesional que refleja el software legítimo de marketing por correo electrónico”.
La plataforma presenta una interfaz fácil de usar que permite a los clientes administrar cuentas, servidores proxy, plantillas y campañas, reflejando las herramientas de automatización de correo electrónico comercial. Una de sus características principales es un generador de correo electrónico integrado con tecnología de inteligencia artificial que puede crear correos electrónicos de phishing completos, incluidas líneas de asunto, de una manera que imita las comunicaciones comerciales legítimas.
Al hacerlo, estos servicios reducen aún más la barrera de entrada del delito cibernético y eliminan de manera efectiva el trabajo manual que implica escribir dichos correos electrónicos. En cambio, los atacantes pueden configurar parámetros como idioma, tema o industria, longitud del correo electrónico y tono deseado, que el kit de herramientas utiliza como entradas para generar señuelos convincentes que se ajusten al tema elegido.
Además, el panel permite a los usuarios guardar el correo electrónico creado como una plantilla reutilizable, incluida la compatibilidad con Spintax para crear variaciones de los mensajes de correo electrónico reemplazando ciertas variables de la plantilla. Esto garantiza que no haya dos correos electrónicos de phishing que parezcan idénticos y les ayuda a evitar los filtros basados en firmas que buscan patrones de contenido similares.
Algunas de las otras funciones admitidas en InboxPrime AI se enumeran a continuación:
- Un motor de diagnóstico de spam en tiempo real que puede analizar un correo electrónico generado en busca de activadores comunes del filtro de spam y sugerir soluciones precisas.
- Aleatorizar y falsificar la identidad del remitente, lo que permite a los atacantes personalizar los nombres para mostrar para cada sesión de Gmail.
“Esta industrialización del phishing tiene un impacto directo en los defensores: ahora más atacantes pueden lanzar más campañas de mayor volumen sin un aumento proporcional en el ancho de banda o los recursos de los defensores”, dijo Abnormal. “Esto no solo acelera el tiempo de lanzamiento de la campaña, sino que también garantiza una calidad constante del mensaje, permite una orientación temática escalable en todas las industrias y permite a los atacantes realizar operaciones de phishing de apariencia profesional sin ninguna habilidad de redacción”.
Spiderman crea réplicas perfectas de bancos europeos
El tercer kit de phishing que se ha centrado en la ciberseguridad es Spiderman, que permite a los atacantes atacar a clientes de docenas de bancos europeos y proveedores de servicios financieros en línea como Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna y PayPal.
“Spiderman es un marco de phishing completo que emula docenas de páginas de inicio de sesión de bancos europeos e incluso algunos portales gubernamentales”, dijo el investigador de Varonis, Daniel Kelley. “Su interfaz organizada proporciona a los ciberdelincuentes una plataforma todo en uno para lanzar campañas de phishing, capturar credenciales y gestionar datos de sesiones robadas en tiempo real”.
Lo notable del kit modular es que su vendedor comercializa la solución en un grupo de Signal Messenger con alrededor de 750 miembros, lo que representa una desviación de Telegram. Alemania, Austria, Suiza y Bélgica son los principales objetivos del servicio de phishing.
Como en el caso de BlackForce, Spiderman utiliza varias técnicas, como listas permitidas de ISP, geocercas y filtrado de dispositivos para garantizar que solo los objetivos previstos puedan acceder a las páginas de phishing. El kit de herramientas también es capaz de capturar frases iniciales de billeteras de criptomonedas, interceptar códigos OTP y PhotoTAN y activar mensajes para recopilar datos de tarjetas de crédito.
“Este enfoque flexible y de múltiples niveles es particularmente efectivo en el fraude bancario europeo, donde las credenciales por sí solas a menudo no son suficientes para autorizar transacciones”, explicó Kelley. “Después de capturar las credenciales, Spiderman registra cada sesión con un identificador único, lo que permite al atacante mantener la continuidad durante todo el flujo de trabajo de phishing”.
Se detectan ataques híbridos de Salty Tycoon 2FA
BlackForce, GhostFrame, InboxPrime AI y Spiderman son las últimas incorporaciones a una larga lista de kits de phishing como Tycoon 2FA, Salty 2FA, Sneaky 2FA, Whisper 2FA, Cephas y Astaroth (que no debe confundirse con un troyano bancario de Windows del mismo nombre) que surgieron el año pasado.
En un informe publicado a principios de este mes, ANY.RUN dijo que había observado un nuevo híbrido Salty Tycoon que ya está eludiendo las reglas de detección adaptadas a cualquiera de los dos. La nueva ola de ataques coincide con una fuerte disminución en la actividad de Salty 2FA a fines de octubre de 2025, con fases iniciales consistentes con Salty2FA, mientras que las fases posteriores cargan código que reproduce la cadena de ejecución de Tycoon 2FA.
“Esta superposición marca un cambio significativo; debilita las reglas específicas de los kits, complica la atribución y da a los actores de amenazas más margen para evadir la detección temprana”, dijo la compañía.
“En conjunto, esto proporciona evidencia clara de que una sola campaña de phishing y, lo que es más interesante, una sola muestra contiene rastros de Salty2FA y Tycoon, con Tycoon sirviendo como carga útil de reemplazo una vez que la infraestructura de Salty dejó de funcionar por razones que aún no están claras”.
About The Author
