CoGUI, el kit de phishing que abusa de conocidas marcas en señuelos de phishing

Endpoint

21 MAY 2025

Utilizado por ciberdelincuentes de habla china, CoGUI cuenta con varias técnicas avanzadas de evasión de defensas, como geofencing, headers fencing y fingerprinting, para pasar desapercibido por sistemas de navegación automatizados y sandboxes.

Una de las amenazas de mayor volumen en la actualidad es el kit de phishing CoGUI, que abusa de conocidas marcas de consumo y financieras, incluidas Amazon, PayPay, Rakuten y otras, en señuelos de phishing. Como alerta Proofpoint, su punto álgido se produjo el pasado enero con más de 172 millones de mensajes observados durante ese mes.

El kit CoGUI tiene algunas similitudes con un kit de phishing conocido como Darcula, ambos utilizados por ciberdelincuentes de habla china. El objetivo de estas campañas es robar nombres de usuario, contraseñas y datos de pago. CoGUI cuenta con varias técnicas avanzadas de evasión de defensas, como geofencing, headers fencing y fingerprinting, para pasar desapercibido por sistemas de navegación automatizados y sandboxes.

Las amenazas estaban dirigidas principalmente a usuarios de Japón, aunque también de Nueva Zelanda, Canadá y Estados Unidos. Se observaron campañas CoGUI relacionadas con las finanzas en abril de 2025, coincidiendo con el anuncio de aranceles por parte del gobierno de Estados Unidos y mencionando este tema como señuelo en sus mensajes.

Dado el volumen de actividad, la variedad del abuso de la marca, el calendario de las campañas que utilizan la misma marca y la diferente infraestructura de alojamiento, este kit de phishing es utilizado por varios ciberdelincuentes diferentes. Según las características del kit y la actividad identificada, es probable que los usuarios del kit de phishing CoGUI sean atacantes de habla china que se dirigen a personas de habla japonesa en Japón. Las campañas observadas dirigidas a usuarios fuera de Japón también se dirigen a hablantes de japonés y a organizaciones con operaciones y empleados en Japón.

Asimismo, mientras analizaban los kits de phishing CoGUI, los investigadores observaron similitudes con otro tipo de actividad que estaban rastreando: Road Toll Smishing, que hace referencia a mensajes SMS sobre facturas de peaje pendientes en Estados Unidos en los que se pide a los destinatarios que inicien el proceso de reembolso haciendo clic en la URL proporcionada.

“Los kits de phishing utilizan señuelos que imitan marcas y servicios de confianza para aumentar la probabilidad de que los usuarios hagan clic en los enlaces proporcionados. Estos mensajes a menudo crean una sensación de urgencia para completar una tarea, pero es necesario reducir la velocidad, visitar la web oficial del servicio e iniciar sesión en la cuenta para investigar más a fondo la veracidad de los señuelos”, aconsejan desde el equipo de investigación de amenazas de Proofpoint. “Las organizaciones deben informar a los usuarios sobre la suplantación de identidad de marcas financieras y de consumo populares, así como a los equipos de TI cuando los observen. La implementación de la autenticación multifactor en todas las aplicaciones y servicios, FIDO u otros tokens de seguridad física reducen el riesgo de filtración de credenciales de usuario y sus consecuencias”.