Investigadores han identificado una campaña activa desde octubre de 2025 donde actores maliciosos explotan la plataforma n8n para distribuir malware mediante phishing.
Plataforma Objetivo: n8n
Plataforma de automatización basada en webhooks y flujos de trabajo.
Uso de subdominios confiables.
Integración con APIs y servicios.
Vector de ataque
- Correos phishing con enlaces a webhooks n8n.
- Simulan documentos empresariales.
- Uso de URLs legítimas.
Funcionamiento Técnico
- Webhook actúa como API inversa.
- Entrega contenido dinámico.
- Ejecuta scripts y descargas.
Cadena de Ataque
- Email phishing
- Redirección a webhook
- CAPTCHA
- Descarga malware
- Compromiso del sistema
Técnicas de Evasión
- Uso de dominios legítimos
- CAPTCHA
- JavaScript dinámico
- Flujos automatizados
- Device Fingerprinting
- Recolección de:
- IP
- Navegador
- Sistema operativo
- Correo
Tipos de Malware
- Archivos .exe y MSI
- Herramientas RMM
- Acceso remoto
MITRE ATT&CK
- Phishing
- Execution
- Defense Evasion
- Command and Control
- Discovery
Soluciones y mitigaciones con tecnologías Sophos
Sophos Intercept X – Seguridad avanzada del endpoint
Intercept X protege equipos de usuario y servidores ante actividades posteriores a la obtención de credenciales.
Tecnologías integradas:
- Deep Learning para detección de amenazas desconocidas.
- Prevención de exploits y ataques sin archivos.
- Aislamiento automático de dispositivos comprometidos.
- Reversión de cambios maliciosos en el sistema.
Sophos XDR – Detección y respuesta extendida
Sophos XDR permite correlacionar eventos de seguridad provenientes de múltiples capas.
Beneficios clave:
- Visibilidad centralizada de ataques complejos.
- Análisis de comportamiento y correlación avanzada.
- Automatización de respuestas ante incidentes.
- Investigación profunda de campañas persistentes.
Sophos MDR – Detección y respuesta gestionada
Sophos MDR ofrece monitoreo continuo con analistas especializados.
Servicios incluidos:
- Threat hunting proactivo.
- Respuesta inmediata a incidentes.
- Contención remota de amenazas.
- Apoyo experto para mitigación y análisis forense.
Sophos Central – Gestión centralizada de seguridad
Sophos Central consolida la administración de todas las soluciones.
Funciones principales:
- Panel único de alertas y eventos.
- Gestión unificada de políticas.
- Reportes ejecutivos y técnicos.
- Visibilidad completa del estado de seguridad.
Sophos Firewall para bloqueo de amenazas
Funciones principales:
- Inspección profunda de tráfico cifrado (TLS Inspection)
- IPS (Intrusion Prevention System) de nueva generación
- Protección contra Command and Control (C2)
- Web Protection y control de descargas
- Application Control
- Protección DNS
