El malware OneClik se oculta a simple vista
Table of Contents
Una nueva generación de intrusión cibernética
Expertos en ciberseguridad han descubierto una campaña de malware altamente dirigida conocida como OneClik . Esta operación no es un ataque disperso típico, sino un esfuerzo concentrado y dirigido directamente a industrias de alto valor como la energía, el petróleo y el gas. Lo que hace que OneClik sea notable es el uso de la tecnología ClickOnce de Microsoft, una herramienta legítima diseñada para facilitar la implementación de software a los usuarios. En cambio, los atacantes la han convertido en un arma para introducir silenciosamente puertas traseras en sistemas críticos.
Vivir de la tierra: la estrategia evasiva de los atacantes
En lugar de depender de malware ruidoso que activa las alarmas, OneClik adopta un enfoque más sutil. La campaña se alinea con una tendencia más amplia del sector conocida como técnicas de "vivir de la tierra", que utilizan herramientas y plataformas de sistemas confiables para operar sin ser detectados. Los atacantes integran procesos maliciosos en los flujos de trabajo empresariales habituales, lo que dificulta enormemente su detección. Aunque algunas características sugieren vínculos con grupos de amenazas con afiliación china, los analistas de seguridad se muestran cautelosos a la hora de atribuir responsabilidades.
Del phishing al control total
La cadena de ataque comienza con un correo electrónico de phishing engañosamente simple. Las víctimas son redirigidas a un sitio web falso que simula una herramienta legítima de análisis de hardware. Al visitarlo, este sitio envía silenciosamente una aplicación ClickOnce. Aunque parezca inofensiva, la aplicación es en realidad un cargador basado en .NET que desencadena una compleja cadena de eventos. En el centro de esta cadena se encuentra una potente puerta trasera conocida como RunnerBeacon .
RunnerBeacon: El implante central
Desarrollado con el lenguaje de programación Go, RunnerBeacon está diseñado para ser discreto y versátil. Se comunica con sus operadores mediante diversos protocolos, como HTTPS, TCP sin formato e incluso tuberías con nombre de Windows. Esto permite al malware realizar una amplia gama de actividades: leer y modificar archivos, escanear redes internas, ejecutar comandos de shell, robar tokens para escalada de privilegios y moverse lateralmente por la red. No es solo un punto de apoyo, sino un conjunto de herramientas para comprometer sistemas a gran escala.
No se requieren derechos de administrador: por qué es importante ClickOnce
Uno de los trucos más ingeniosos de la campaña reside en el abuso de ClickOnce. Esta tecnología de Microsoft se suele usar para instalar software sin necesidad de privilegios de administrador. Los atacantes la aprovechan para ejecutar su malware sin generar sospechas ni solicitar permisos sospechosos. La aplicación maliciosa se ejecuta a través de un proceso confiable de Windows, dfsvc.exe, y emplea una táctica poco común conocida como inyección de AppDomainManager para ejecutar código shell cifrado en memoria, lo que dificulta la recuperación forense.
No es un caso aislado: variantes en evolución en la naturaleza
No se trata de una sola cepa de malware, sino de una familia en expansión. Investigadores de seguridad han identificado varias variantes de OneClik que surgieron tan solo en 2025, cada una más refinada que la anterior. Nombres como v1a , BPI-MDM y v1d indican un conjunto de herramientas en desarrollo, diseñado para la evasión y la persistencia. De hecho, los primeros avistamientos de la puerta trasera RunnerBeacon se remontan a 2023, lo que apunta a una campaña que ha estado operando y evolucionando discretamente con el tiempo.
Implicaciones más amplias: qué significa esto para las empresas
Las implicaciones de la actividad de OneClik son significativas. Su capacidad para pasar desapercibido, evitar la escalada de privilegios y operar dentro de sistemas confiables lo hace especialmente peligroso para industrias que dependen de sistemas heredados o de protecciones mínimas para endpoints. Es posible que las herramientas antivirus y firewalls tradicionales no lo detecten. Las organizaciones en sectores de infraestructura deben considerar si sus defensas actuales pueden hacer frente a este tipo de ataque.
A continuación se muestran algunas señales clave que podrían sugerir una intrusión al estilo OneClik:
- Tráfico saliente inusual hacia AWS u otros servicios en la nube
- Procesos secundarios desconocidos de dfsvc.exe
- Uso de AppDomainManager o ensamblados .NET sospechosos
- Escaladas graduales de privilegios sin alertas
Un patrón global: conexiones con otros actores amenazantes
Aunque la atribución sigue siendo confusa, los investigadores han observado similitudes entre las técnicas de OneClik y las empleadas por grupos vinculados a estados en el noreste asiático. Una campaña del grupo APT-Q-14 también aprovechó las aplicaciones ClickOnce, en esta ocasión explotando una vulnerabilidad XSS de día cero en un servicio de correo electrónico web para instalar malware sin necesidad de hacer clic. La superposición de tácticas sugiere herramientas compartidas o una estrategia común entre los actores de amenazas regionales.
La adaptabilidad es la nueva arma
Lo que distingue a OneClik del malware tradicional es su flexibilidad. No se basa en vulnerabilidades de gran envergadura ni en métodos de fuerza bruta. En cambio, se adapta. Utiliza plataformas confiables como AWS, oculta sus comunicaciones y evoluciona en tiempo real. Esto es un símbolo de un cambio más amplio en las ciberamenazas: se aleja del volumen y se acerca al sigilo y la precisión.
Reflexiones finales
La campaña OneClik es un claro recordatorio de que incluso las tecnologías legítimas pueden reutilizarse con fines maliciosos. Para los equipos de seguridad, esto implica ir más allá de las protecciones superficiales e invertir en análisis de comportamiento, detección de anomalías y monitorización avanzada. Dado que los actores de amenazas no dejan de perfeccionar sus métodos, los defensores deben igualarlos en agilidad y conocimiento. El futuro de la ciberseguridad reside en comprender no solo lo que hacen los atacantes, sino también su sigilo.
