En el constante avance de las amenazas cibernéticas, una nueva campaña maliciosa denominada PoisonSeed ha emergido como un riesgo significativo para la seguridad de las criptomonedas y los datos sensibles de las organizaciones. Esta amenaza aprovecha las cuentas comprometidas en plataformas de gestión de relaciones con clientes (CRM) y proveedores de correo electrónico masivo para enviar mensajes fraudulentos diseñados para engañar a personas y empresas con la intención de robar fondos digitales mediante el envenenamiento de frases semilla. En este análisis profundo, detallamos cómo funciona este ataque, sus objetivos, y las medidas recomendadas para protegerse frente a este tipo de campañas sofisticadas. PoisonSeed se distingue por explotar vulnerabilidades asociadas con las credenciales robadas de herramientas ampliamente usadas en la industria, incluyendo compañías de renombre como Mailchimp, SendGrid, Hubspot, Mailgun y Zoho, además de grandes actores del ecosistema criptográfico como Coinbase y Ledger. Los atacantes primero crean páginas de phishing casi idénticas a los sitios oficiales de estas plataformas, con el propósito de capturar las credenciales de usuarios de alto valor.
Esto permite el establecimiento de persistencia mediante la generación de claves API que garantizan el acceso continuo a las cuentas incluso después de posibles cambios de contraseña por parte de las víctimas. Una vez con control sobre las cuentas CRM comprometidas, los adversarios exportan listas de contactos mediante herramientas automatizadas para difundir correos electrónicos masivos. Estos correos contienen frases semilla falsas o maliciosas de criptomonedas que inducen a los destinatarios a copiar y pegar dichos códigos en la configuración de nuevas billeteras digitales, con el fin de interceptar y controlar los fondos. Esta técnica de “poisoning” o envenenamiento es especialmente peligrosa, ya que engaña a usuarios incluso fuera del ámbito criptográfico, al presentar un mensaje aparentemente legítimo sugerido por sus propias relaciones empresariales. Entre los elementos más inquietantes de esta campaña está su relación con grupos de amenaza conocidos como Scattered Spider y CryptoChameleon, ambos parte del ecosistema criminal “The Com”.
El vínculo se evidencia a través del uso de un dominio específico, mailchimp-sso[.]com, previamente asociado con estas agrupaciones. Sin embargo, el kit de phishing empleado por PoisonSeed tiene características únicas que sugieren la posibilidad de un nuevo actor en juego o una evolución en las herramientas utilizadas por CryptoChameleon. Los expertos en seguridad han identificado que la campaña no se limita solo al robo de fondos, sino que también involucra la distribución de malware sofisticado. Un grupo de habla rusa ha utilizado páginas de phishing alojadas en Cloudflare Pages.
Dev y Workers.Dev para alojar malware que controla remotamente equipos con sistema operativo Windows. Además, la entrega de la información robada se realiza a través de bots de Telegram, lo que complica la detección y el rastreo de los atacantes. Uno de los modus operandi recientes identificados abusa del protocolo ms-search para descargar archivos maliciosos con extensiones dobles que aparentan ser documentos PDF, pero en realidad son lanzadores de malware (archivos LNK). La ejecución de estos archivos permite la conexión con servidores de comando y control (C2) para operaciones de espionaje y control remoto.
Esta combinación entre ingeniería social, tecnología avanzada y el uso estratégico de canales legítimos casi convierte el ataque en una herramienta muy poderosa para los ciberdelincuentes, especialmente en un contexto donde la adopción del uso de criptomonedas aumenta exponencialmente. La sofisticación de PoisonSeed ejemplifica la necesidad crítica de implementar prácticas robustas de seguridad cuando se utilizan plataformas CRM y correos masivos, ya que son un vector de ataque extremadamente valioso para los delincuentes. En primer lugar, la autenticación multifactor (MFA) para el acceso a estas plataformas se presenta como una defensa esencial. Aunque no es infalible, su implementación complica significativamente el acceso no autorizado, especialmente contra ataques de phishing que solo buscan robar contraseñas. Asimismo, la monitorización constante y análisis del tráfico de correos salientes pueden ayudar a detectar anomalías en la comunicación desde cuentas comprometidas.
Los usuarios de servicios relacionados con criptomonedas deben ser especialmente cautelosos frente a cualquier solicitud que incluya instrucciones para copiar y pegar frases semilla. Esta es una técnica clásica de engaño y una clara señal de alerta para posibles fraudes. Se recomienda verificar siempre la autenticidad del remitente y nunca utilizar frases semilla compartidas o no generadas por uno mismo. Por otra parte, la educación continua de empleados y usuarios sobre los riesgos asociados a la ingeniería social y las campañas de phishing es un componente indispensable. La concienciación puede marcar la diferencia entre caer en una trampa o reportar un incidente a tiempo, permitiendo la mitigación rápida.