Kaspersky ha detectado una campaña maliciosa que se está expandiendo rápidamente. Desde junio de 2025, dicha campaña ha tenido como objetivo a más de 1.100 usuarios corporativos. Los ciberdelincuentes se hacen pasar por un despacho de abogados y, por correo electrónico, amenazan a los destinatarios con demandas por supuestas infracciones de patentes relacionadas con nombres de dominio. El objetivo tras esto es instalar malware. Las víctimas al abrir los archivos adjuntos que simulan documentos legales terminan infectando sus dispositivos con un troyano que permite a los ciberdelincuentes espiar sus pantallas. Entre las organizaciones atacadas se encuentran entidades de los sectores sanitario, financiero y educativo.

La campaña comenzó el 11 de junio con el envío de 95 correos, y desde entonces ha ido en aumento. El supuesto bufete no solo afirma que el nombre de dominio del destinatario infringe combinaciones patentadas de una gran marca y amenaza con emprender acciones legales, sino que también manifiesta el interés del titular de la patente en adquirir dicho dominio. El mensaje invita a abrir un archivo comprimido que contiene los “documentos”, con el fin de conocer los detalles de la supuesta infracción. Aunque inicialmente se detectó fuera de Europa, ya se han registrado casos en países como Francia y Reino Unido, lo que refuerza la necesidad de extremar precauciones ante este tipo de correos en el mercado europeo. Es importante destacar que los ciberdelincuentes, probablemente para evitar ser detectados, adjuntan un archivo que no está protegido con contraseña. Dentro de él hay otro comprimido que sí está protegido, junto a un archivo que incluye la contraseña.

Una vez que el usuario introduce la contraseña del archivo comprimido y abre el supuesto documento legal, el troyano se instala en el dispositivo. En pantalla aparece el mensaje: “Este documento no se puede abrir en este dispositivo. Intente abrirlo en otro dispositivo con Windows”. Al mismo tiempo, el navegador Tor se descarga e instala en segundo plano sin que el usuario lo note. A través de este canal, el malware envía regularmente capturas de pantalla al servidor de los ciberdelincuentes. Además, el software malicioso se configura para iniciarse automáticamente cada vez que se reinicia el equipo.

“Esta campaña combina técnicas de manipulación psicológica con engaños técnicos, y se aprovecha del miedo a una acción legal para presionar a las empresas a abrir archivos maliciosos ocultos en los adjuntos. Su rápida propagación desde el 11 de junio pone de manifiesto la necesidad de reforzar las ciberdefensas. Las víctimas se arriesgan a perder información privada. Para hacer frente a esta amenaza en evolución, son esenciales una seguridad sólida en el correo electrónico, la formación del personal y una notificación rápida de cualquier incidente”, afirma Anna Lazaricheva, analista de spam en Kaspersky.