17 de Septiembre de 2025 20:00Hrs

GPUGate: Como cibercriminales abusan de Google Ads y GitHub para distribuir malware avanzado

Una campaña dirigida a profesionales de TI en Europa combina publicidad engañosa y repositorios falsificados para evadir defensas y comprometer redes corporativas.

Una nueva campaña de malware, identificada como GPUGate, ha encendido las alarmas en la comunidad de ciberseguridad al aprovechar simultáneamente la confianza que los usuarios depositan en Google y GitHub, dos de las plataformas tecnológicas más utilizadas en el mundo. El hallazgo fue reportado por el Arctic Wolf Cybersecurity Operations Center, que atribuye la operación a un actor de amenazas ruso especializado en ataques dirigidos contra profesionales de TI en Europa Occidental, un perfil de víctimas que suele contar con accesos privilegiados a redes corporativas.

El punto de entrada se origina en anuncios patrocinados de Google que aparecen cuando los usuarios buscan herramientas legítimas, como GitHub Desktop. Al hacer clic, en lugar de ir al sitio oficial, la víctima es redirigida a páginas de commits en GitHub cuidadosamente manipuladas. Estas páginas imitan con precisión repositorios reales, incluyendo nombres, metadatos y un historial aparentemente legítimo, pero contienen enlaces alterados que conducen a dominios bajo control de los atacantes.

Este uso combinado de Google Ads y GitHub es particularmente peligroso porque refuerza la credibilidad del engaño: el usuario cree estar interactuando con fuentes confiables cuando, en realidad, está iniciando un proceso de infección.

Evasión mediante GPU y cargas cifradas

Lo que distingue a GPUGate de campañas previas es su sofisticado mecanismo de evasión. El instalador inicial tiene un tamaño de 128 MB, una característica diseñada para burlar sandboxes de seguridad, ya que muchas de estas herramientas establecen límites inferiores de tamaño para los archivos analizados.

Más preocupante aún es la técnica empleada para eludir entornos virtuales y laboratorios de análisis: la carga maliciosa se mantiene cifrada y solo se descifra si el sistema infectado cuenta con una GPU física cuyo nombre de dispositivo supere los diez caracteres. En máquinas virtuales o entornos de prueba, donde suelen analizarse estos archivos, el malware nunca se activa, lo que reduce de manera significativa las probabilidades de ser detectado en etapas tempranas.

Impacto y objetivos de la campaña

Una vez ejecutado con éxito, GPUGate inicia una cadena de acciones diseñadas para consolidar el acceso y expandir el control dentro de la red corporativa. Mediante un script de PowerShell, el malware obtiene privilegios de administrador, establece mecanismos de persistencia y deshabilita las defensas de Windows Defender.

Los analistas creen que los objetivos principales de la campaña incluyen el robo de credenciales, la exfiltración de información confidencial y, en fases más avanzadas, el despliegue de ransomware u otras formas de malware financiero.

Una amenaza en evolución

Según los investigadores, la campaña de GPUGate ha estado activa desde diciembre de 2024 y continúa evolucionando, perfeccionando sus técnicas para evadir controles y ampliar su alcance. Este tipo de ataques subraya la necesidad de reforzar la vigilancia sobre la cadena de suministro digital, especialmente en entornos corporativos que dependen de repositorios y descargas de software de confianza.

Las recomendaciones de mitigación incluyen:

  • Verificar siempre la procedencia real de los enlaces, incluso en repositorios que aparentan ser legítimos.
  • Implementar soluciones de seguridad capaces de detectar comportamientos anómalos en PowerShell y procesos relacionados con GPU.
  • Capacitar a profesionales de TI para identificar señales de anuncios sospechosos en motores de búsqueda.

El caso GPUGate confirma que incluso las plataformas con mayor prestigio pueden ser utilizadas como vectores de ataque si los usuarios bajan la guardia.

Regresar
Scroll al inicio