Sophos Endpoint está diseñado desde su base para bloquear automáticamente exploits, ransomware y técnicas de los atacantes de forma predeterminada, sin necesidad de ajustes manuales.

Este caso muestra cómo las capacidades únicas contra la explotación incluidas en Sophos Endpoint bloquearon un ataque a la cadena de suministro a través de JDownloader, un gestor de descargas gratuito basado en Java de AppWork GmbH que automatiza las descargas masivas desde servidores de archivos y sitios de vídeo con un solo clic.

Cómo se desarrolló el ataque

Nos encontramos ante un ataque de tipo «watering hole»: entre el 6 y el 7 de mayo de 2026, los atacantes comprometieron el sitio web oficial de JDownloader y sustituyeron discretamente los instaladores de Windows de la página de descargas alternativa por binarios sin firmar y con malware.El binario troyanizado incluía un JDownloader auténtico junto con el código malicioso, por lo que la aplicación se instalaba y ejecutaba con normalidad y la víctima, que no sospechaba nada, no tenía ningún indicio visible de que hubiera sido comprometida.

Los informes de las víctimas indican que la carga útil desactiva Microsoft Defender como parte de su cadena de ejecución.

La sustitución pasó desapercibida durante más de un día hasta que un usuario de Reddit detectó las advertencias de SmartScreen y un desarrollador de JDownloader confirmó la brecha y desconectó el sitio. Hasta ese momento, todas las descargas venían con malware oculto incorporado.

¿La causa principal? Un fallo sin parchear en JDownloader permitía a los atacantes editar las listas de control de acceso del sitio sin autenticarse. Una vez dentro, simplemente redirigieron los enlaces de descarga a sus propios archivos maliciosos.

Sophos Endpoint en acción

En un ataque a la cadena de suministro, el reto no es si los atacantes llegarán a tus endpoints, sino si tus defensas pueden detener técnicas que nunca han visto, sin ajustes por aplicación, listas de exclusión ni un especialista en seguridad de guardia.

En este ataque, Sophos Endpoint bloqueó el instalador troyanizado mediante Kernel32Trap, una de las más de 60 mitigaciones de exploits que se implementan automáticamente desde el primer día. No fue necesaria ninguna consulta en la nube, ninguna firma, ninguna inferencia de IA ni ningún conocimiento previo de la campaña.

Un enfoque único que le da la vuelta a la tortilla a los atacantes

Kernel32Trap se centra en MITRE ATT&CK T1027.007 (Resolución dinámica de API), un patrón casi universal en muchos códigos shell en los que la carga útil localiza las funciones del sistema que necesita en tiempo de ejecución, en lugar de declararlas en la tabla de importación del binario, donde los escáneres antivirus las verían.

La propia MITRE clasifica esta técnica como una que «no se puede mitigar fácilmente con controles preventivos, ya que se basa en el abuso de las características del sistema».

El enfoque de Sophos consiste en invertir la suposición en la que se basa la técnica: al igual que los atacantes colocan el malware donde los usuarios esperan encontrar archivos legítimos, nosotros colocamos una trampa exactamente en el lugar donde el malware espera encontrar un componente legítimo del sistema. En el momento en que el malware intenta llamar a lo que acaba de «resolver», nuestra mitigación toma el control del ataque y termina el proceso.

Dos decisiones de diseño, exclusivas de Sophos Endpoint, hacen que esto funcione.

1. Sophos Endpoint carga su protección en tiempo de ejecución en cada proceso de forma excepcionalmente temprana a través de un mecanismo propio. Eso significa que la trampa ya está activada cuando se inicia la aplicación; el primer movimiento del atacante se comprueba con una defensa que lo estaba esperando.
2. La mitigación se activa en el momento preciso de la activación: detiene al malware en su primer intento de usar una API resuelta, ni antes (lo que supondría un riesgo de falsos positivos en código benigno) ni después (cuando la carga útil ya se está ejecutando). Cuando la mitigación se activó, el malware estaba en medio de la creación de la lista de funciones de Windows que necesitaba para desplegar su segunda fase.

Entre el 6 y el 8 de mayo, esta única mitigación se activó en 11 endpoints de clientes de nuestra base de usuarios, bloqueando la ejecución del instalador troyanizado de JDownloader en todos los casos, mucho antes de que el equipo de JDownloader solucionara el problema.

La diferencia estratégica de Sophos Endpoint

Los atacantes adaptan sus técnicas de evasión a las defensas que esperan encontrar, y la hipótesis predominante es la protección que viene de serie con el sistema operativo. Las mitigaciones que no figuran en su matriz de pruebas, los obstáculos que no habían previsto, son donde ganamos.

La ventaja de Sophos Endpoint resulta duradera porque aplicamos la mayoría de las más de 60 medidas de mitigación contra la explotación a todas las aplicaciones en ejecución de forma predeterminada, sin romper la compatibilidad y sin necesidad de ajustes por entorno. Kernel32Trap no es una función nueva; de hecho, lleva 10 años haciendo su trabajo en silencio: misma ruta de código, sin ajustes, la misma potente protección contra ataques diseñados para eludir las defensas predeterminadas típicas.

Los productos comparables que ofrecen técnicas similares suelen limitarlas a una lista fija de procesos sensibles conocidos, lo cual es ineficaz contra un instalador troyanizado que puede ejecutarse bajo cualquier nombre de proceso.

Así es como se ve la defensa en profundidad a nivel técnico en la práctica: una medida de mitigación de 2016, aplicada de forma universal, que convierte una técnica de evasión que el propio MITRE señala como imposible de prevenir en un incidente sin importancia para 11 clientes en dos días.

Una historia, muchos más ejemplos

Esta historia es un ejemplo de un enfoque de los atacantes demasiado común.

Observamos un patrón similar en el incidente de CPU-Z en abril de 2026, cuando atacantes comprometieron cpuid.com y sustituyeron las URL de descarga de CPU-Z y HWMonitor por enlaces a instaladores maliciosos que utilizaban la carga lateral de DLL.

Sophos Endpoint también bloqueó esa campaña, sin conocimiento previo, esta vez a través de Dynamic Shellcode Protection, otra medida de mitigación específica de Sophos en la misma capa de Runtime Protection.

Mejora las defensas contra los ataques a la cadena de suministro con Sophos Endpoint

Sophos Endpoint ofrece una defensa inigualable contra los ataques dirigidos por humanos y por IA. Para obtener más información y probarlo, visita sophos.com/endpoint.