Investigadores de ciberseguridad han documentado cuatro nuevos kits de phishing llamados BlackForce, GhostFrame, InboxPrime AI y Spiderman que son capaces de facilitar el robo de credenciales a escala.
BlackForce, detectado por primera vez en agosto de 2025, está diseñado para robar credenciales y realizar ataques Man-in-the-Browser (MitB) para capturar contraseñas de un solo uso (OTP) y evitar la autenticación multifactor (MFA). El kit se vende en los foros de Telegram por entre 200 € (234 dólares) y 300 € (351 dólares).
El kit, según los investigadores de Zscaler ThreatLabz, Gladis Brinda R y Ashwathi Sasi, se ha utilizado para hacerse pasar por más de 11 marcas, incluidas Disney, Netflix, DHL y UPS. Se dice que está en desarrollo activo.
«BlackForce presenta varias técnicas de evasión con una lista de bloqueo que filtra proveedores de seguridad, rastreadores web y escáneres», dijo la compañía. «BlackForce sigue en desarrollo activo. La versión 3 se utilizó ampliamente hasta principios de agosto, y las versiones 4 y 5 se lanzaron en los meses siguientes».
Se ha descubierto que las páginas de phishing conectadas al kit utilizan archivos JavaScript con lo que se ha descrito como hashes de «eliminación de caché» en sus nombres (por ejemplo, «index-(hash).js»), lo que obliga al navegador web de la víctima a descargar la última versión del script malicioso en lugar de utilizar una versión almacenada en caché.
En un ataque típico que utiliza el kit, las víctimas que hacen clic en un enlace son redirigidas a una página de phishing maliciosa, después de lo cual una verificación del lado del servidor filtra los rastreadores y los bots, antes de mostrarles una página diseñada para imitar un sitio web legítimo. Una vez que se ingresan las credenciales en la página, los detalles se capturan y envían a un bot de Telegram y a un panel de comando y control (C2) en tiempo real utilizando un cliente HTTP llamado Axios.
Cuando el atacante intenta iniciar sesión con las credenciales robadas en el sitio web legítimo, se activa un mensaje de MFA. En esta etapa, las técnicas MitB se utilizan para mostrar una página de autenticación MFA falsa en el navegador de la víctima a través del panel C2. Si la víctima ingresa el código MFA en la página falsa, el actor de la amenaza lo recopila y lo utiliza para obtener acceso no autorizado a su cuenta.
«Una vez que se completa el ataque, la víctima es redirigida a la página de inicio del sitio web legítimo, ocultando evidencia del compromiso y asegurando que la víctima no se dé cuenta del ataque», dijo Zscaler.
GhostFrame impulsa más de 1 millón de ataques de phishing sigilosos
Otro kit de phishing incipiente que ha ganado fuerza desde su descubrimiento en septiembre de 2025 es GhostFrame. En el corazón de la arquitectura del kit hay un archivo HTML simple que parece inofensivo pero oculta su comportamiento malicioso dentro de un iframe integrado, que lleva a las víctimas a una página de inicio de sesión de phishing para robar las credenciales de Microsoft 365 o de la cuenta de Google.
«El diseño del iframe también permite a los atacantes cambiar fácilmente el contenido de phishing, probar nuevos trucos o apuntar a regiones específicas, todo sin cambiar la página web principal que distribuye el kit», dijo el investigador de seguridad de Barracuda, Sreyas Shetty. «Además, simplemente actualizando hacia dónde apunta el iframe, el kit puede evitar ser detectado por herramientas de seguridad que sólo verifican la página exterior».
Los ataques que utilizan el kit GhostFrame comienzan con los típicos correos electrónicos de phishing que afirman tratar sobre contratos comerciales, facturas y solicitudes de restablecimiento de contraseña, pero que están diseñados para llevar a los destinatarios a la página falsa. El kit utiliza antianálisis y antidepuración para evitar intentos de inspeccionarlo utilizando herramientas de desarrollo del navegador y genera un subdominio aleatorio cada vez que alguien visita el sitio.
Las páginas exteriores visibles vienen con un script de carga que es responsable de configurar el iframe y responder a cualquier mensaje del elemento HTML. Esto puede incluir cambiar el título de la página principal para hacerse pasar por servicios confiables, modificar el favicon del sitio o redirigir la ventana del navegador de nivel superior a otro dominio.
En la etapa final, se envía a la víctima a una página secundaria que contiene los componentes de phishing reales a través del iframe entregado a través del subdominio en constante cambio, lo que dificulta bloquear la amenaza. El kit también incorpora un mecanismo de respaldo en forma de un iframe de respaldo adjunto en la parte inferior de la página en caso de que el cargador JavaScript falle o esté bloqueado.
El kit de phishing con IA de InboxPrime automatiza los ataques por correo electrónico
Si BlackForce sigue el mismo manual que otros kits de phishing tradicionales, InboxPrime AI va un paso más allá al aprovechar la inteligencia artificial (IA) para automatizar campañas de correo masivo. Se anuncia en un canal de Telegram de 1.300 miembros bajo un modelo de suscripción de malware como servicio (MaaS) por 1.000 dólares, lo que otorga a los compradores una licencia perpetua y acceso completo al código fuente.
«Está diseñado para imitar el comportamiento humano real de envío de correo electrónico e incluso aprovecha la interfaz web de Gmail para evadir los mecanismos de filtrado tradicionales», dijeron los investigadores de Abnormal Callie Baron y Piotr Wojtyla.
«InboxPrime AI combina inteligencia artificial con técnicas de evasión operativa y promete a los ciberdelincuentes una capacidad de entrega casi perfecta, generación automatizada de campañas y una interfaz pulida y profesional que refleja el software legítimo de marketing por correo electrónico».
La plataforma emplea una interfaz fácil de usar que permite a los clientes administrar cuentas, servidores proxy, plantillas y campañas, reflejando las herramientas comerciales de automatización de correo electrónico. Una de sus características principales es un generador de correo electrónico integrado con tecnología de inteligencia artificial, que puede producir correos electrónicos de phishing completos, incluidas las líneas de asunto, de una manera que imita la comunicación comercial legítima.
Al hacerlo, estos servicios reducen aún más la barrera de entrada del delito cibernético, eliminando efectivamente el trabajo manual que implica redactar dichos correos electrónicos. En su lugar, los atacantes pueden configurar parámetros, como idioma, tema o industria, longitud del correo electrónico y tono deseado, que el kit de herramientas utiliza como entradas para generar señuelos convincentes que coincidan con el tema elegido.
Es más, el panel permite a los usuarios guardar el correo electrónico producido como una plantilla reutilizable, completa con soporte para spintax para crear variaciones de los mensajes de correo electrónico sustituyendo ciertas variables de la plantilla. Esto garantiza que no haya dos correos electrónicos de phishing que parezcan idénticos y les ayuda a evitar los filtros basados en firmas que buscan patrones de contenido similares.
Algunas de las otras funciones admitidas en InboxPrime AI se enumeran a continuación:
- Un módulo de diagnóstico de spam en tiempo real que puede analizar un correo electrónico generado en busca de activadores comunes del filtro de spam y sugerir correcciones precisas.
- Aleatorización y suplantación de identidad del remitente, lo que permite a los atacantes personalizar los nombres para mostrar para cada sesión de Gmail.
«Esta industrialización del phishing tiene implicaciones directas para los defensores: ahora más atacantes pueden lanzar más campañas con más volumen, sin el correspondiente aumento en el ancho de banda o los recursos de los defensores», dijo Abnormal. «Esto no sólo acelera el tiempo de lanzamiento de la campaña, sino que también garantiza una calidad constante del mensaje, permite una orientación temática escalable en todas las industrias y permite a los atacantes ejecutar operaciones de phishing de apariencia profesional sin experiencia en redacción publicitaria».
Spiderman crea réplicas perfectas de bancos europeos
El tercer kit de phishing que ha pasado desapercibido para la ciberseguridad es Spiderman, que permite a los atacantes apuntar a clientes de docenas de bancos europeos y proveedores de servicios financieros en línea, como Blau, CaixaBank, Comdirect, Commerzbank, Deutsche Bank, ING, O2, Volksbank, Klarna y PayPal.
«Spiderman es un marco de phishing completo que replica docenas de páginas de inicio de sesión bancarias europeas e incluso algunos portales gubernamentales», dijo el investigador de Varonis, Daniel Kelley. «Su interfaz organizada proporciona a los ciberdelincuentes una plataforma todo en uno para lanzar campañas de phishing, capturar credenciales y gestionar datos de sesiones robadas en tiempo real».
Lo notable del kit modular es que su vendedor comercializa la solución en un grupo de mensajería Signal que tiene alrededor de 750 miembros, lo que marca una desviación de Telegram. Alemania, Austria, Suiza y Bélgica son los principales objetivos del servicio de phishing.
Como en el caso de BlackForce, Spiderman utiliza varias técnicas como listas de permitidos de ISP, geocercas y filtrado de dispositivos para garantizar que solo los objetivos previstos puedan acceder a las páginas de phishing. El kit de herramientas también está equipado para capturar frases iniciales de billeteras de criptomonedas, interceptar códigos OTP y PhotoTAN y activar mensajes para recopilar datos de tarjetas de crédito.
«Este enfoque flexible y de varios pasos es particularmente efectivo en el fraude bancario europeo, donde las credenciales de inicio de sesión por sí solas a menudo no son suficientes para autorizar transacciones», explicó Kelley. «Después de capturar las credenciales, Spiderman registra cada sesión con un identificador único para que el atacante pueda mantener la continuidad durante todo el flujo de trabajo de phishing».
Se detectan ataques híbridos Salty-Tycoon 2FA
BlackForce, GhostFrame, InboxPrime AI y Spiderman son las últimas incorporaciones a una larga lista de kits de phishing como Tycoon 2FA, Salty 2FA, Sneaky 2FA, Whisper 2FA, Cephas y Astaroth (que no debe confundirse con un troyano bancario de Windows del mismo nombre) que surgieron durante el año pasado.
En un informe publicado a principios de este mes, ANY.RUN dijo que observó un nuevo híbrido Salty-Tycoon que ya está eludiendo las reglas de detección adaptadas a cualquiera de ellos. La nueva ola de ataques coincide con una fuerte caída en la actividad de Salty 2FA a finales de octubre de 2025, con las primeras etapas coincidiendo con Salty2FA, mientras que las etapas posteriores cargan código que reproduce la cadena de ejecución de Tycoon 2FA.
«Esta superposición marca un cambio significativo; uno que debilita las reglas específicas de los kits, complica la atribución y da a los actores de amenazas más espacio para eludir la detección temprana», dijo la compañía.
«En conjunto, esto proporciona evidencia clara de que una sola campaña de phishing y, lo que es más interesante, una sola muestra, contiene rastros de Salty 2FA y Tycoon, con Tycoon sirviendo como carga útil alternativa una vez que la infraestructura de Salty dejó de funcionar por razones que aún no están claras».
