Seedworm APT abusa de los binarios firmados de Fortemedia y SentinelOne para la descarga de DLL

Un conocido grupo de hackers vinculado a Irán ha sido descubierto ejecutando una campaña de espionaje de gran alcance que afectó al menos a nueve organizaciones en nueve países y cuatro continentes a principios de 2026. Los atacantes utilizaron un método sofisticado para ocultarse dentro de las redes objetivo: abusaron de software legítimo y firmado para cargar código malicioso de forma encubierta, haciendo que su actividad pareciera un comportamiento normal del sistema.

El grupo detrás de esta campaña es Seedworm, también conocido como MuddyWater, Temp.Zagros y Static Kitten. Los analistas de Symantec identificaron la campaña y señalaron que una de las intrusiones más destacadas involucró a un importante fabricante de productos electrónicos de Corea del Sur, donde los atacantes se movieron silenciosamente a través de su red durante una semana completa en febrero de 2026, según indicó Symantec en un informe compartido con Cyber Security News (CSN). En lugar de depender de malware evidente, desplegaron archivos binarios firmados y colocaron código malicioso junto a ellos. Cuando los programas firmados se ejecutaban, cargaban automáticamente los archivos del atacante, una técnica conocida como DLL sideloading.

Seedworm APT abusa de binarios firmados de Fortemedia y SentinelOne

En el centro de esta campaña se encontraba el abuso de dos ejecutables legítimamente firmados. La publicación “Seedworm APT abusa de los binarios firmados de Fortemedia y SentinelOne para realizar DLL sideloading” apareció por primera vez en Cyber Security News.

Consultar publicación original ↗