Un reporte de la firma SOCRadar reveló que una operación de phishing denominada “HookedWink” que utilizó infraestructura comprometida en distintos países, incluidos Chile y Brasil, para ejecutar campañas de robo de credenciales dirigidas contra organizaciones de aviación, gobierno y sectores críticos. La actividad habría permanecido activa por más de cuatro años.
La firma de inteligencia de amenazas SOCRadar publicó recientemente un informe sobre una operación de phishing denominada “HookedWink”, campaña que habría permanecido activa durante más de cuatro años y que, según la investigación, afectó a más de 500 organizaciones en distintos sectores estratégicos. El reporte identificó infraestructura comprometida en múltiples países, incluyendo servidores alojados en Chile, Brasil, Pakistán, Senegal y Afganistán, los que fueron utilizados para apoyar actividades vinculadas al robo de credenciales corporativas.
El análisis describe una red distribuida de páginas fraudulentas y servidores comprometidos utilizados para capturar accesos de plataformas empresariales, especialmente cuentas de Microsoft 365. La operación apuntó principalmente a organizaciones relacionadas con sectores como la aviación, el gobierno, la energía, el transporte e infraestructuras críticas. El reporte identificó víctimas en Asia, África, Europa y Medio Oriente, además de infraestructura operativa dispersa globalmente.
En el reporte, los especialistas de SOCRadar afirmaron que parte de los sistemas utilizados por los atacantes correspondían a servidores legítimos previamente comprometidos. El informe menciona explícitamente la presencia de infraestructura en Chile asociada a servicios de hosting compartido. Según la investigación, algunos de estos sistemas fueron utilizados para alojar paneles de phishing, mecanismos de redirección y servicios de exfiltración de datos robados.
“El adversario ha atacado a una amplia gama de empresas, incluyendo compañías tecnológicas, proveedores de servicios y pequeños portales en línea. Por respeto a las organizaciones afectadas, no se mencionan sus nombres en este informe; la mayoría son entidades de menor escala en diferentes países”, indica el informe.
La figuración de Chile en el reporte no se relaciona con víctimas locales confirmadas, sino con el uso de infraestructura nacional como parte del ecosistema técnico utilizado por los atacantes. El documento no identifica organizaciones chilenas afectadas ni atribuye responsabilidad a entidades locales. Sin embargo, sí confirma que servidores ubicados en el país participaron dentro de la red operacional utilizada para ejecutar campañas internacionales de phishing.
El reporte sostiene que la operación utilizó técnicas diseñadas para evitar la detección tradicional, incluyendo el uso de servicios legítimos como GitHub Pages y Vercel para alojar páginas fraudulentas. SOCRadar indicó que los atacantes abusaron de plataformas legítimas y reutilizaron infraestructura comprometida para mantener operaciones a largo plazo.
La investigación también documentó campañas de phishing altamente personalizadas, donde las páginas falsas incluían nombres de organizaciones reales y simulaban portales corporativos legítimos. Los investigadores señalaron que la infraestructura cambiaba constantemente para evitar bloqueos automáticos y mantener la persistencia de la operación.
Uno de los elementos destacados en el informe es que varios de los servidores comprometidos pertenecían a empresas pequeñas o entornos de hosting compartido, situación que permitió a los operadores ocultar actividad maliciosa dentro de servicios legítimos. SOCRadar indicó que la operación permaneció sin documentación pública durante más de cuatro años.
El informe agrega que la campaña estaba orientada principalmente al robo de credenciales corporativas y accesos privilegiados. Parte de la infraestructura detectada estaba configurada para recopilar credenciales de acceso de servicios empresariales.
SOCRadar señaló además que la campaña mantuvo actividad constante mediante reutilización de infraestructura previamente comprometida y automatización de despliegues. La compañía indicó que los atacantes implementaron mecanismos para cargar dinámicamente formularios maliciosos y dificultar el análisis automatizado de las páginas fraudulentas.