You are here
México 

Infoblox Threat Intel ha identificado al agente malicioso que redirige usuarios y ejecuta malware de forma inteligente y selectiva

Alberto Marin Moran

Este agente, denominado “Detour Dog”, ha infectado ya más de 30.000 sitios web y utiliza DNS para redirigir selectivamente a usuarios o ejecutar código remoto, de modo oculto para el usuario.

Detour Dog utiliza una técnica novedosa: usa los registros TXT de DNS para realizar acciones command and Control (C2) encubiertas, lo que permite a los sitios web infectados obtener y ejecutar scripts maliciosos mientras ocultan los servidores que están detrás de los sitios comprometidos.

El volumen de actividad es enorme, con picos de más de 2 millones de peticiones de registros TXT de DNS en una hora. El éxito de Detour Dog se debe a su capacidad para operar sigilosamente, ya que la mayoría de las veces no aparece una vulnerabilidad clara del sistema.

Octubre de 2025 – Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha identificado un agente malicioso, al que ha denominado “Detour Dog”, que utiliza de forma abusiva DNS para llevar a cabo campañas de malware que han infectado ya miles de sitios web, de manera que pasa totalmente desapercibida.

Este malware ha evolucionado desde agentes orientados a realizar redireccionamiento de usuarios con fines fraudulentos a distribuir otros tipos malware dedicados al robo de información. Es un agente que opera de modo sigiloso (Stealth), de manera que el sitio web infectado obtiene y retransmite información sin que el usuario se percate de ello. Hace un uso abusivo del sistema de nombres de dominio (DNS) para perpetrar acciones de comando y control (C2).

Detour Dog utiliza una técnica novedosa: usa los registros TXT de DNS para realizar acciones C2encubiertas, lo que permite a los sitios web infectados obtener y ejecutar scripts maliciosos mientras ocultan los servidores que están detrás de los sitios comprometidos. Este control del lado del servidor significa que una página web puede parecer legítima para la mayoría de los visitantes, pero sólo ataca a determinados usuarios, de forma selectiva en función de su ubicación y dispositivo. El volumen de actividad es enorme, con picos de más de 2 millones de peticiones de registros TXT de DNS en una hora.

La clave del éxito de esta técnica radica en que es el servidor, no el cliente, el que realiza consultas que codifican la IP y el tipo de dispositivo del usuario. Los servidores de nombres controlados por el atacante deciden qué usuarios son redirigidos a sitios de estafas, activando una instrucción remota de “descargar y ejecutar”. El éxito de Detour Dog se debe a su capacidad para operar sigilosamente. La mayoría de las veces, no hay una vulnerabilidad clara del sistema y es difícil reproducir sus redirecciones maliciosas.

Principales conclusiones del informe

  • Amplio alcance: Más de 30.000 sitios web están infectados con el malware Detour Dog, que utiliza DNS para redirigir selectivamente a los usuarios o ejecutar código remoto, todo ello desde el servidor y de modo invisible para los usuarios.
  • Evolución de la campaña: La infraestructura de Detour Dog ha evolucionado, pasando de la distribución de campañas de estafas on-line a la distribución de StarFish, una puerta trasera que instala el malware Strela Stealer, operado por Hive0145.
  • Técnica novedosa: Detour Dog usa los registros TXT de DNS para realizar acciones C2encubiertas, lo que permite a los sitios web infectados obtener y ejecutar scripts maliciosos mientras ocultan los servidores que están detrás de los sitios comprometidos.
  • Persistencia: Los sitios web pueden estar infectados durante más de un año, ya que la mayoría de las visitas parecen normales y solo ciertos usuarios son objetivo del malware. Esto también se debe a que los scripts se ejecutan en el lado del servidor.
  • Difícil de detectar: Aproximadamente el 90% de las consultas DNS de sitios infectados obtienen una respuesta de “no hacer nada”. Solo un pequeño porcentaje de esas consultas desencadena acciones maliciosas: alrededor del 9 % son redirecciones y el 1 % son tareas de búsqueda y ejecución.
  • Distribución de botnets: Las campañas de Strela Stealer se distribuyeron entre junio y julio de 2025 a través de REM Proxy, una botnet basada en MikroTik, y las botnets Tofsee, lo que revela una relación entre este agente malicioso y los proveedores de las botnets.
  • Elemento clave de la cadena de suministro: Se cree que Detour Dog ha sido el único proveedor de las campañas analizadas, prestando servicio a Hive0145 y utilizando botnets para la distribución de spam. Más del 69% de los dominios involucrados en estas campañas están controlados por Detour Dog. Se ha descubierto asimismo que dichos dominios funcionaron como DNS relay.

DNS, pieza clave en la pila de ciberseguridad de las organizaciones

Detour Dog hace que el tráfico web cotidiano se convierta en un riesgo para el negocio. Es probable que las herramientas tradicionales de ciberseguridad en el endpoint pasen por alto la actividad DNS del lado del servidor, por lo que el punto crítico para mitigar esta amenaza se encuentra entre la capa de DNS y la red. La investigación de Infoblox demuestra que DNS no es solo una herramienta muy útil para rastrear posibles ciberamenazas, sino también un sistema instrumento de primera línea de defensa, capaz de interceptar los ataques antes de que tengan un impacto en usuarios negocios. Sin embargo, la eficacia de cualquier defensa DNS depende de la calidad y la especificidad de la inteligencia de amenazas que utiliza. Dado que los atacantes utilizan métodos cada vez más evolucionados, estas amenazas solo se pueden mitigar disponiendo de visibilidad e inteligencia DNS, adaptadas para seguir el ritmo de evolución de dichas amenazas.

Lea el informe completo aquí: 

Related posts

Leave a Comment