Investigación de Infoblox revela que casi el 55% de las redes de sus clientes estuvieron expuestas a infraestructura vinculada con SocGholish durante los primeros cinco meses de 2026.
Operación internacional desmantela infraestructura criminal
Una operación internacional conocida como Operation Endgame logró desmantelar parte de la infraestructura utilizada por SocGholish, una de las plataformas de malware más persistentes empleadas por ciberdelincuentes para obtener acceso inicial a redes corporativas y facilitar posteriores ataques de ransomware.
Como resultado de esta acción coordinada entre organismos gubernamentales y empresas de ciberseguridad, fueron desactivados 106 servidores y dominios, además de remediarse 14,971 sitios web comprometidos, muchos de ellos utilizados para distribuir malware mediante falsas actualizaciones de navegador.
Infoblox participó como socio de inteligencia de amenazas dentro de la iniciativa y destaca que este tipo de colaboraciones público-privadas son fundamentales para combatir las operaciones criminales que alimentan el ecosistema global del ransomware.
Más de la mitad de las redes analizadas estuvieron expuestas
De acuerdo con la investigación de Infoblox, la amenaza tuvo un alcance significativo dentro de entornos empresariales. Entre enero y mayo de 2026, más del 54% de las redes protegidas por Infoblox Threat Defense Cloud registraron intentos de conexión hacia infraestructura asociada con SocGholish.
Aunque la mayoría de estos intentos no derivó en una infección exitosa gracias a controles de seguridad existentes, los hallazgos reflejan la amplitud de una operación criminal que ha permanecido activa durante casi una década.
Una puerta de entrada para ransomware y extorsión
SocGholish es operado por el grupo conocido como TA569, especializado en comprometer sitios web legítimos para distribuir falsas actualizaciones de navegador. Una vez ejecutado el archivo malicioso, los atacantes pueden obtener acceso a entornos corporativos y posteriormente venderlo a otros grupos criminales.
Investigaciones previas han vinculado la infraestructura de SocGholish con múltiples familias de ransomware, incluyendo LockBit, RansomHub, DoppelPaymer, WastedLocker y Hades, así como con actividades atribuidas al grupo criminal EvilCorp.
“SocGholish no es una amenaza aislada. Sus actividades se extienden profundamente en el sector público y en entornos comerciales, allanando el camino para que otros ciberdelincuentes accedan a las redes. Nos enorgullece ser socios de la Operación Endgame; TA569 y sus afiliados”, señaló la Dra. Renée Burton, VP de Infoblox Threat Intel. “Continuaremos monitoreando la evolución de este ecosistema, si se reactivan antiguas alianzas y qué nuevas infraestructuras o cadenas de distribución podrían surgir en respuesta”.
Gobierno, banca y salud entre los sectores más expuestos
Otro hallazgo relevante de Infoblox muestra que la amenaza afecta a organizaciones de múltiples sectores. Las industrias con mayor nivel de exposición durante el periodo analizado fueron gobierno, educación, banca, salud y servicios profesionales, lo que confirma que no se trata de una campaña dirigida a una industria específica, sino de una operación de alcance masivo.
Además, la investigación identificó que los operadores de SocGholish aprovecharon más de 1.4 millones de credenciales filtradas de sitios web para facilitar compromisos de infraestructura y ampliar el alcance de sus campañas.
Domain shadowing: la técnica que dificulta la detección
Según Infoblox, uno de los elementos más sofisticados de esta operación fue el uso de domain shadowing, una técnica que permite a los atacantes crear subdominios maliciosos dentro de dominios legítimos previamente comprometidos.
Al aprovechar la reputación de dominios legítimos, los atacantes pueden dificultar la detección de su infraestructura y prolongar la vida útil de sus campañas maliciosas.
DNS como primera línea de defensa
Para las organizaciones, este caso demuestra la importancia de adoptar estrategias de seguridad capaces de detectar y bloquear amenazas en etapas tempranas del ataque.
La inteligencia de amenazas basada en DNS permite identificar y bloquear conexiones hacia infraestructura maliciosa antes de que los usuarios descarguen malware o los dispositivos comprometidos establezcan comunicación con servidores controlados por los atacantes.
La amenaza evoluciona, pero no desaparece
Aunque se espera que la actividad asociada con SocGholish disminuya tras Operation Endgame, los investigadores advierten que los grupos criminales suelen adaptarse rápidamente y reconstruir parte de su infraestructura.
Por ello, el monitoreo continuo y la inteligencia de amenazas seguirán siendo esenciales para detectar nuevas variantes, identificar cambios en la infraestructura criminal y reducir el riesgo de futuras campañas.