Un malware con archivos SVG falsos se expande en Colombia: suplantan a la Fiscalía y terminan instalando AsyncRAT

Última actualización: 11/09/2025

  • Correos que suplantan a la Fiscalía en Colombia distribuyen adjuntos SVG como señuelo.
  • Archivos "personalizados" por víctima, automatización e indicios de uso de IA complican la detección.
  • La cadena de infección termina desplegando AsyncRAT mediante DLL sideloading.
  • Se han visto 44 SVG únicos y más de 500 artefactos desde agosto, con baja detección inicial.

malware en Colombia

En América Latina se ha observado una oleada de campañas maliciosas con Colombia como epicentro, donde correos que aparentan provenir de organismos oficiales distribuyen archivos inusuales para infectar ordenadores.

El gancho es el de siempre —ingeniería social con citaciones o demandas falsas—, pero el modo de entrega ha dado un salto: adjuntos SVG con lógica incrustada, plantillas automatizadas y señales que apuntan a procesos asistidos por IA.

Una operación que apunta a usuarios en Colombia

campaña de malware Colombia

Los mensajes suplantan a entidades como la Fiscalía General de la Nación e incluyen un archivo .svg cuyo tamaño —a menudo superior a 10 MB— ya debería despertar sospechas. Al abrirlo, en lugar de un documento legítimo aparece una interfaz que simula trámites oficiales con barras de progreso y supuestas verificaciones.

Tras unos segundos, el propio navegador guarda un ZIP protegido con contraseña, mostrada en claro dentro del mismo archivo, reforzando la puesta en escena de un procedimiento “formal”. En una de las muestras analizadas (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), las soluciones de seguridad de ESET la identificaron como JS/TrojanDropper.Agent.PSJ.

Contenido exclusivo - Clic Aquí  ¿Cómo Saber si Alguien Espía Mi WhatsApp?

El envío no es masivo con un único adjunto: cada destinatario recibe un SVG diferente, con datos aleatorios que lo vuelven único. Este “polimorfismo” dificulta tanto el filtrado automático como el trabajo de los analistas.

Las telemetrías muestran picos de actividad a mitad de semana durante agosto, con mayor incidencia en usuarios ubicados en Colombia, lo que sugiere una campaña sostenida dirigida a ese país.

El papel del archivo SVG y el truco del smuggling

AsyncRAT en Colombia

Un SVG es un formato de imagen vectorial basado en XML. Esa flexibilidad —texto, estilos y scripts dentro del mismo archivo— permite que los atacantes incorporen código y datos ocultos sin necesidad de recursos externos visibles, técnica conocida como “SVG smuggling” y documentada en MITRE ATT&CK.

En esta campaña, el engaño se ejecuta dentro del propio SVG: se renderiza una falsa página informativa con controles y mensajes que, al finalizar, provocan que el navegador guarde un paquete ZIP con un ejecutable que inicia el siguiente paso de la infección.

Una vez que la víctima ejecuta el contenido descargado, la cadena avanza mediante DLL sideloading: un binario legítimo carga, sin saberlo, una biblioteca manipulada que pasa desapercibida y permite al actor continuar con la intrusión.

Contenido exclusivo - Clic Aquí  Cómo defenderse del phishing de Poste Italiane

El propósito final es instalar AsyncRAT, un troyano de acceso remoto capaz de registrar pulsaciones, exfiltrar archivos, capturar pantalla, controlar cámara y micrófono y robar credenciales almacenadas en navegadores.

Automatización y huellas de IA en las plantillas

El marcado de los SVG analizados revela frases genéricas, campos vacíos de maqueta y clases excesivamente descriptivas, además de sustituciones llamativas —como símbolos oficiales por emojis— que ningún portal real emplearía.

También aparecen contraseñas en claro y supuestos “hashes de verificación” que no son más que cadenas MD5 sin validez práctica. Todo apunta a kits prefabricados o a plantillas generadas de forma automática para producir adjuntos en serie con mínimo esfuerzo humano.

Evasión y números de la campaña

Las plataformas de intercambio de muestras han contabilizado al menos 44 SVG únicos empleados en la operación y más de 500 artefactos relacionados desde mediados de agosto. Las primeras variantes eran pesadas —en torno a 25 MB— y se fueron “afinando” con el tiempo.

Para esquivar controles, las muestras usan ofuscación, polimorfismo y grandes cantidades de código de relleno que confunden los análisis estáticos, lo que se tradujo en baja detección inicial por parte de varios motores.

Contenido exclusivo - Clic Aquí  Como Se Marca a España Desde Mexico

El uso de marcadores en español dentro del XML y patrones repetidos permitió a los investigadores crear reglas de caza y firmas que, aplicadas de forma retrospectiva, vincularon cientos de envíos a la misma campaña.

Un segundo vector: archivos SWF combinados

archivos SWF combinados

En paralelo se observaron ficheros SWF disfrazados de minijuego 3D, con módulos ActionScript y rutinas AES que mezclaban lógica funcional con componentes opacos; una táctica que eleva umbrales heurísticos y retrasa su clasificación como maliciosos.

El dúo SWF+SVG actuó como puente entre formatos heredados y modernos: mientras el SWF confundía a los motores, el SVG inyectaba una página HTML de phishing codificada y dejaba un ZIP adicional sin interacción del usuario más allá del click inicial.

La combinación de muestras personalizadas por víctima, archivos voluminosos y técnicas de smuggling explica que los filtros basados en reputación o patrones simples no hayan frenado la difusión en las primeras oleadas.

Lo que dibujan estos hallazgos es una operación que aprovecha al máximo el formato SVG para suplantar a organismos colombianos, automatiza la creación de adjuntos y culmina con AsyncRAT mediante DLL sideloading. Ante cualquier correo con “citaciones” que incluya un archivo .svg o contraseñas en claro, lo sensato es desconfiar y validar por canales oficiales antes de abrir nada.