Entre las amenazas más extendidas en la actualidad se encuentra el kit de phishing CoGUI, que, según la empresa líder en ciberseguridad y cumplimiento normativo Proofpoint, utiliza señuelos falsos de conocidas marcas de consumo y entidades financieras como Amazon, PayPal, Rakuten, entre otras. Estas campañas tienen como finalidad el robo de credenciales, contraseñas y datos de pago. Su actividad alcanzó su punto máximo en enero, con más de 172 millones de mensajes detectados durante ese mes.
El kit CoGUI presenta similitudes con otro kit de phishing conocido como Darcula, ambos empleados por ciberdelincuentes de habla china. CoGUI incorpora diversas técnicas avanzadas de evasión, como geofencing, headers fencing y fingerprinting, diseñadas para eludir la detección por parte de sistemas automatizados y entornos de análisis controlado (sandboxes).
Las amenazas estaban dirigidas principalmente a usuarios de Japón, aunque también de Nueva Zelanda, Canadá y Estados Unidos. Curiosamente, Proofpoint observó asimismo campañas CoGUI relacionadas con las finanzas en abril de 2025, coincidiendo con el anuncio de aranceles por parte del gobierno de Estados Unidos y mencionando este tema como señuelo en sus mensajes. Este alto volumen de phishing hacia Japón no es nuevo, ya que en 2020 Proofpoint publicó un informe sobre campañas maliciosas en japonés utilizando técnicas similares. De hecho, las autoridades japonesas dieron recientemente detalles sobre un aumento en la actividad de phishing dirigida a organizaciones financieras para obtener ganancias ilícitas y, en la mayoría de los casos, utilizarlas para comprar acciones chinas.
Dado el volumen de actividad, la variedad del abuso de la marca, el calendario de las campañas que utilizan la misma marca y la diferente infraestructura de alojamiento, Proofpoint considera que este kit de phishing es utilizado por varios ciberdelincuentes diferentes. Según las características del kit y la actividad identificada, es probable que los usuarios del kit de phishing CoGUI sean atacantes de habla china que se dirigen a personas de habla japonesa en Japón. Las campañas observadas dirigidas a usuarios fuera de Japón también se dirigen a hablantes de japonés y a organizaciones con operaciones y empleados en Japón.
Asimismo, mientras analizaban los kits de phishing CoGUI, los investigadores de Proofpoint observaron similitudes con otro tipo de actividad que estaban rastreando: Road Toll Smishing, que hace referencia a mensajes SMS sobre facturas de peaje pendientes en Estados Unidos en los que se pide a los destinatarios que inicien el proceso de reembolso haciendo clic en la URL proporcionada. Entre las referencias se encuentran los archivos .js y .css, el mismo servicio específico online para perfilar el navegador del usuario, lenguaje chino en el código y en las respuestas. No obstante, Proofpoint ha logrado superar las técnicas de CoGUI, lo que proporciona a los clientes protección contra versiones e implementaciones conocidas del kit.
Aunque una de las cosas que destaca de estas campañas de CoGUI es que no incluyen funciones para recopilar credenciales de autenticación multifactor, que se están convirtiendo en un estándar para los servicios de phishing de credenciales con más frecuencia. Según Proofpoint, es posible que existan instancias utilizadas por CoGUI que no se hayan observado.
“Los kits de phishing utilizan señuelos que imitan marcas y servicios de confianza para aumentar la probabilidad de que los usuarios hagan clic en los enlaces proporcionados. Estos mensajes a menudo crean una sensación de urgencia para completar una tarea, pero es necesario reducir la velocidad, visitar la web oficial del servicio e iniciar sesión en la cuenta para investigar más a fondo la veracidad de los señuelos”, aconsejan desde el equipo de investigación de amenazas de Proofpoint. “Las organizaciones deben informar a los usuarios sobre la suplantación de identidad de marcas financieras y de consumo populares, así como a los equipos de TI cuando los observen. La implementación de la autenticación multifactor en todas las aplicaciones y servicios, FIDO u otros tokens de seguridad física reducen el riesgo de filtración de credenciales de usuario y sus consecuencias”.
