Edgestepper: Nuevo malware implante que redirige DNS para ataques sigilosos

Edgestepper: Un Implante Sofisticado que Redirige el Tráfico DNS para Evadir Detección

En noviembre de 2025 se dio a conocer un hallazgo significativo en el panorama de las amenazas cibernéticas: la detección de un implante denominado Edgestepper, capaz de manipular las resoluciones DNS de dispositivos comprometidos, lo que constituye un avance preocupante en técnicas de evasión y persistencia para actores maliciosos.

¿Qué es Edgestepper y cómo funciona?

Edgestepper es un malware diseñado para actuar como un intermediario en la resolución de nombres de dominio (DNS) en la máquina infectada. El implante intercepta las consultas DNS legítimas con la finalidad de redirigirlas hacia servidores controlados por los atacantes, permitiéndoles:

Realizar ataques de Man-in-the-Middle (MitM).
Dirigir el tráfico hacia servidores falsos para capturar credenciales.
Filtrar contenido e inyectar código malicioso adicional.
Mantener un canal oculto de comunicación con la infraestructura de comando y control (C2).

Esta capacidad le otorga una posición privilegiada para alterar la navegación y la comunicación externa sin levantar sospechas inmediatas de los usuarios o de las soluciones de seguridad tradicionales que no inspeccionan el tráfico DNS de forma profunda.

Técnicas de evasión y persistencia

El implante no solo manipula tráfico DNS sino que hace uso de técnicas avanzadas para evitar su detección y garantizar su permanencia en el sistema comprometido. Entre sus métodos destacan:

Modificación a nivel de sistema operativo para alterar el servicio de resolución DNS de forma transparente.
Uso de técnicas de hooking en librerías críticas del sistema, interceptando llamadas API.
Persistencia mediante la modificación de configuraciones de arranque o servicios del sistema para reiniciarse luego de reinicios.
Encubrimiento de su presencia evitando archivos visibles o entradas sospechosas en el registro del sistema.

Estas propiedades hacen que Edgestepper sea especialmente útil para actores de amenaza con objetivos de infiltración prolongada y exfiltración sigilosa de datos.

Impacto y contexto del hallazgo

El descubrimiento de Edgestepper muestra la creciente sofisticación en las herramientas utilizadas por actores maliciosos y subraya la necesidad de fortalecer las defensas a nivel DNS, un vector tradicionalmente subestimado en la seguridad perimetral y de endpoint.

Las organizaciones deben prestar especial atención a:

La monitorización del tráfico DNS para identificar patrones anómalos.
Implementación de resolutores DNS seguros y autenticados, como DNS sobre TLS (DoT) o DNS sobre HTTPS (DoH).
Auditorías y análisis forenses específicos para detectar modificaciones no autorizadas en servicios críticos.
Estrategias de defensa en profundidad que incluyan protección en capas y segmentación de red.

Conclusiones

La aparición de Edgestepper amplía el arsenal de amenazas basadas en la manipulación de servicios fundamentales para la conectividad, mostrando que los atacantes continúan innovando para evitar la detección y maximizar la efectividad de sus campañas. La comunidad de seguridad debe adaptarse continuamente y elevar las exigencias de protección en todos los niveles, considerando vectores que antes se daban por sentados, como la resolución DNS.

La vigilancia y respuesta proactiva ante estas amenazas es clave para mitigar riesgos y garantizar la integridad y confidencialidad de la información en entornos corporativos y críticos.

Fuente original: The Hacker News – Edgestepper Implant Reroutes DNS Queries to Attacker Servers

← Aplicación Containment: La Guía Definitiva para Proteger tus Sistemas de Amenazas Avanzadas Agentes de IA de ServiceNow vulnerables a engaños que pueden comprometer sistemas críticos →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil