Proofpoint ha identificado una campaña de ciberataques en la que los ciberdelincuentes se hacen pasar por autoridades fiscales de Europa, Asia y Estados Unidos para distribuir un malware personalizado llamado “Voldemort”. Se sospecha que esta amenaza, observada por primera vez en agosto de 2024, tiene fines de espionaje, ya que el malware se centra en la recopilación de información y la entrega de payloads adicionales, en lugar de perseguir objetivos económicos.
La campaña ha afectado a más de 70 organizaciones mediante el envío de 20.000 mensajes, utilizando métodos poco convencionales de mando y control, como Google Sheets y archivos compartidos. Los correos falsos estaban personalizados según el idioma de la autoridad fiscal suplantada, empleando dominios legítimos comprometidos. Por ejemplo, un mensaje del IRS de EE.UU. utilizaba una dirección manipulada que aparentaba ser oficial.
El ataque ha afectado a diversos sectores, siendo las empresas aseguradoras, las entidades aeroespaciales, de transporte y universidades los principales objetivos. Proofpoint destaca que, aunque el malware incluye funciones sofisticadas, su uso de técnicas básicas y la falta de claridad en sus objetivos finales complican la evaluación de los ciberatacantes.