Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Comprometen servidor de eScan y distribuyen malware

Comprometen servidor de eScan y distribuyen malware

por Dragora

MicroWorld Technologies, fabricante del antivirus eScan, ha confirmado un grave incidente de seguridad tras detectar que uno de sus servidores de actualizaciones fue comprometido y utilizado para distribuir una actualización no autorizada con comportamiento malicioso. El ataque afectó a un grupo reducido de clientes que descargaron actualizaciones desde un clúster regional específico durante una ventana de aproximadamente dos horas, el 20 de enero de 2026.

El incidente vuelve a poner el foco en los ataques a la cadena de suministro, una de las técnicas más peligrosas del panorama actual, ya que aprovecha la confianza implícita en software de seguridad para introducir malware directamente en los sistemas protegidos.

Qué ocurrió exactamente en el incidente de eScan

Según MicroWorld Technologies, un acceso no autorizado a una configuración regional del servidor de actualizaciones permitió a los atacantes colocar un archivo no autorizado dentro de la ruta legítima de distribución de actualizaciones.

“El acceso no autorizado a una de nuestras configuraciones regionales del servidor de actualizaciones resultó en que un archivo incorrecto se colocara en la ruta de distribución”, explicó eScan en un aviso de seguridad.

El archivo malicioso fue distribuido únicamente a los clientes que actualizaron su software desde ese clúster regional durante el periodo afectado. eScan enfatizó que no se trató de una vulnerabilidad en el producto antivirus, sino de un compromiso de infraestructura.

Respuesta de MicroWorld Technologies

La compañía aseguró que, tras detectar el problema el mismo 20 de enero de 2026, tomó medidas inmediatas:

  • Aislamiento de la infraestructura comprometida

  • Reconstrucción completa de los servidores afectados

  • Rotación de credenciales de autenticación

  • Publicación de avisos de seguridad

  • Contacto directo con los clientes impactados

  • Desarrollo de una herramienta de remediación

MicroWorld Technologies afirmó que el incidente fue detectado internamente mediante monitorización y reportes de clientes, y que la infraestructura fue aislada en cuestión de horas. El aviso público se emitió el 21 de enero.

Controversia con Morphisec sobre la detección

La empresa de seguridad Morphisec publicó de forma independiente un informe técnico en el que analizaba actividad maliciosa detectada en endpoints de clientes de eScan durante el mismo periodo. Morphisec sostiene que identificó el ataque el 20 de enero y notificó posteriormente a eScan.

Sin embargo, MicroWorld Technologies disputa esta versión, afirmando que ya había detectado y contenido el incidente antes del contacto de Morphisec, y que las notificaciones a clientes se realizaron de forma proactiva.

Saibam como os malwares atacam o vosso computador

Comportamiento observado en sistemas afectados

eScan indicó que los clientes que instalaron la actualización maliciosa podrían haber experimentado:

  • Fallos del servicio de actualización

  • Modificación del archivo HOSTS de Windows

  • Cambios en la configuración de actualización de eScan

  • Imposibilidad de recibir nuevas definiciones de seguridad

  • Mensajes emergentes de indisponibilidad de actualización

Este comportamiento tenía como objetivo interrumpir futuras actualizaciones legítimas, facilitando la persistencia del malware.

Análisis técnico: malware distribuido vía actualización legítima

Según el boletín de Morphisec, la actualización maliciosa incluía una versión modificada del componente Reload.exe, parte del sistema de actualización de eScan.

Las actualizaciones fueron distribuidas a través de la infraestructura legítima, lo que permitió desplegar un malware multietapa tanto en sistemas empresariales como de consumo.

Aunque el archivo estaba aparentemente firmado con el certificado de eScan, la firma resultó inválida al ser analizada por Windows y VirusTotal, un indicio claro de manipulación.

Morphisec afirma que Reload.exe fue utilizado para:

  • Establecer persistencia

  • Ejecutar comandos arbitrarios

  • Modificar el archivo HOSTS

  • Bloquear actualizaciones remotas

  • Comunicarse con servidores de mando y control (C2)

  • Descargar cargas útiles adicionales

Infraestructura de mando y control identificada

Los investigadores observaron conexiones con múltiples servidores C2, entre ellos:

  • vhs[.]delrosal[.]net

  • tumama[.]hns[.]to

  • blackice[.]sol-domain[.]org

  • codegiant[.]io

  • host.njalla[.]net

  • 185.241.208[.]115

La carga útil final, denominada CONSCTLX.exe, actúa como puerta trasera persistente y descargador, creando tareas programadas con nombres legítimos como CorelDefrag para evadir la detección.

Herramienta de remediación y recomendaciones

eScan desarrolló una actualización de remediación que permite a los clientes afectados:

  • Identificar y revertir modificaciones maliciosas

  • Restaurar la funcionalidad de actualización

  • Verificar la corrección exitosa

  • Completar el proceso tras un reinicio del sistema

Tanto eScan como Morphisec recomiendan bloquear de inmediato los servidores C2 identificados y revisar los sistemas en busca de indicadores de compromiso.

Un patrón preocupante en ataques a antivirus

Este no es un caso aislado. En 2024, investigadores documentaron ataques atribuidos a actores norcoreanos que explotaron el mecanismo de actualización de eScan para instalar puertas traseras en redes corporativas, lo que subraya el atractivo de los proveedores de software de seguridad como objetivos estratégicos.

En fin…

El incidente de eScan demuestra que incluso las herramientas diseñadas para proteger pueden convertirse en vectores de ataque cuando su infraestructura es comprometida. Los ataques a la cadena de suministro representan una amenaza crítica, especialmente cuando afectan a mecanismos de actualización automática, uno de los pilares de la ciberseguridad moderna.

Para las organizaciones, la lección es clara: la confianza implícita debe complementarse con monitorización, validación y respuesta rápida, incluso cuando el software proviene de proveedores de seguridad consolidados.

Fuente: BleepingComputer

You may also like

Dejar Comentario

Click to listen highlighted text!