GitHub se usa de forma abusiva para difundir información de Amadey, Lumma y Redline en Ucrania.

Una operación de Malware como Servicio (MaaS) recientemente identificada utiliza repositorios de GitHub para propagar diversas familias de ladrones de información. Esta campaña fue descubierta por investigadores de ciberseguridad de Cisco Talos, quienes publicaron sus hallazgos hoy mismo, detallando cómo los actores de amenazas responsables de esta actividad utilizan el bot Amadey para extraer malware directamente de páginas públicas de GitHub a sistemas infectados.

Esta operación surgió en abril de 2025, pero su actividad se remonta al menos a febrero, aproximadamente al mismo tiempo que organizaciones ucranianas eran atacadas con correos electrónicos de phishing de SmokeLoader . Los analistas de Talos detectaron una notable superposición de tácticas e infraestructura entre esa campaña y la nueva impulsada por Amadey, lo que sugiere que ambas podrían estar bajo la misma dirección.

Lo más destacado de este caso fue el abuso de GitHub . Los atacantes crearon cuentas falsas y las utilizaron como directorios abiertos, cargas útiles de alojamiento, herramientas y complementos de Amadey. Al aprovechar el uso generalizado de GitHub y la confianza en entornos corporativos, es probable que los atacantes eludieran muchos filtros web estándar que, de otro modo, habrían bloqueado dominios maliciosos.

Una cuenta de GitHub en particular, según la publicación del blog técnico de Cisco Talos, llamada " Legendary99999 ", se usó intensivamente. Albergaba más de 160 repositorios, cada uno con un único archivo malicioso listo para descargarse mediante una URL directa de GitHub.

Otras dos cuentas, « Milidmdds » y « DFfe9ewf », siguieron un enfoque similar, aunque «DFfe9ewf» parecía ser más experimental. En total, estas cuentas albergaban scripts, cargadores y binarios de varias familias de robadores de información, como Amadey, Lumma, Redline y AsyncRAT .

Amadey no es nuevo. Apareció por primera vez en 2018 en foros de habla rusa, se vendió por unos 500 dólares y, desde entonces, varios grupos lo han utilizado para crear botnets y distribuir malware adicional.

El malware puede recopilar información del sistema, descargar más herramientas y ampliar su funcionalidad con complementos. A pesar de usarse comúnmente como descargador, su diseño flexible implica que puede representar una amenaza mayor según su configuración.

El vínculo técnico entre esta campaña y la operación SmokeLoader anterior se centra en un cargador conocido como " Emmenhtal ". Documentado por primera vez en 2024 por Orange Cyberdefense, Emmenhtal es un descargador multicapa que envuelve su carga útil final en capas de ofuscación. Talos descubrió que variantes de Emmenhtal no solo se usaron en la campaña de phishing dirigida a entidades ucranianas, sino que también se integraron en scripts alojados en las cuentas falsas de GitHub.

Cabe destacar además que varios scripts de la cuenta " Milidmdds ", como " Work.js " y " Putikatest.js ", eran prácticamente idénticos a los de la campaña anterior. Las únicas diferencias eran cambios menores en los nombres de las funciones y los destinos de descarga finales. En lugar de SmokeLoader, estas versiones utilizaban Amadey, ejecutables de PuTTY y herramientas de acceso remoto como AsyncRAT.

El uso de GitHub no se limitaba a los droppers de JavaScript. Talos también encontró un script de Python llamado " checkbalance.py " que se hacía pasar por una herramienta de cifrado. En realidad, decodificó y ejecutó un script de PowerShell que descargó Amadey desde una dirección de comando y control conocida. Es más, mostró un mensaje de error en cirílico incorrecto, lo que indicaba su origen o el público al que iba dirigido.

Si bien GitHub actuó con rapidez para cerrar las cuentas identificadas tras recibir la alerta, este incidente pone de manifiesto cómo las plataformas cotidianas pueden ser explotadas con fines maliciosos. En entornos donde se requiere acceso a GitHub, detectar este tipo de uso indebido no es fácil.

Los investigadores de Talos siguen monitoreando la infraestructura y creen que los operadores están distribuyendo cargas útiles en nombre de múltiples clientes. La variedad de infoStealers detectados en estos repositorios respalda esta teoría, y con la accesibilidad de GitHub, ofrece un método de entrega eficiente para las operaciones MaaS que buscan pasar desapercibidas.