Un grupo criminal conocido como Woodgnat está usando un nuevo malware llamado Mistic para infiltrarse en redes empresariales y después vender ese acceso a bandas de ransomware. No es un grupo que ataque directamente: es un intermediario que abre la puerta para que otros la crucen.
Investigadores de Symantec confirmaron que Woodgnat ha trabajado con al menos seis familias de ransomware: Qilin, Interlock, Rhysida, Akira, 8Base y Black Basta, algunas de las más activas y destructivas del mundo. Mistic ha sido desplegado desde abril de 2026 contra empresas de seguros, educación, tecnología y servicios profesionales.
¿Cómo funciona el ataque?
El engaño comienza con una técnica llamada ClickFix, documentada por Zscaler en su análisis del mismo malware: los atacantes provocan que el navegador del empleado se congele o muestre un error, y luego lo convencen de ejecutar un comando para "arreglar" el problema. Ese comando instala el malware. En otros casos, los criminales contactan a empleados a través de Microsoft Teams haciéndose pasar por soporte técnico, y los guían paso a paso para ejecutar código malicioso en su propia computadora.
Una vez instalado, Mistic se disfraza como un componente legítimo de seguridad de Microsoft, se ejecuta completamente en la memoria del equipo sin dejar archivos en el disco, e incluye un mecanismo para autodestruirse si es detectado. Estas características lo hacen extremadamente difícil de identificar con herramientas de seguridad convencionales.
¿Por qué importa para tu empresa?
El modelo de negocio de Woodgnat funciona como una franquicia del crimen: ellos entran, evalúan qué tan valiosa es tu empresa, y después venden el acceso al mejor postor. Esto significa que un solo punto de entrada puede terminar en un ataque de ransomware ejecutado por cualquiera de seis grupos criminales distintos. Los credenciales comprometidas como puerta de entrada al ransomware siguen siendo el vector más común en estos ataques.
Qué hacer ahora:
Capacita a tu equipo para que nunca ejecute comandos o instrucciones de "soporte técnico" que lleguen por Teams, correo o chat sin verificar directamente con tu área de TI. Los ataques de Woodgnat dependen 100% de que un empleado siga instrucciones falsas.
Configura Microsoft Teams para bloquear mensajes de usuarios externos a tu organización. Woodgnat usa cuentas de Teams externas para contactar empleados haciéndose pasar por soporte técnico.
Implementa monitoreo continuo que detecte comportamientos anómalos en la red, como programas ejecutándose completamente en memoria o conexiones a servidores desconocidos incluso cuando no hay archivos maliciosos visibles en el disco.
Realiza ejercicios de phishing simulado con tu equipo. Si un empleado cae en un engaño de ClickFix en un simulacro controlado, es una señal clara de dónde reforzar la capacitación antes de que un atacante real lo explote.
¿Tu equipo sabría identificar un mensaje falso de soporte técnico? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.