La campaña apunta a organizaciones diplomáticas y utiliza Google Sheets para ocultar sus comunicaciones dentro del tráfico normal de la nube.

Cuando una hoja de cálculo se convierte en infraestructura de ataque

Los investigadores de Securonix identificaron una nueva variante de SHEETCREEP, una familia de malware de acceso remoto (RAT) que utiliza la API de Google Sheets como canal de comando y control (C2). En lugar de comunicarse con servidores sospechosos, el malware intercambia órdenes y resultados a través de hojas de cálculo alojadas en Google, mezclando su actividad con tráfico legítimo de la plataforma.

La campaña fue detectada en operaciones de espionaje dirigidas a organizaciones vinculadas al ámbito diplomático y de relaciones internacionales. Los atacantes distribuyen el malware mediante archivos ISO disfrazados de documentos relacionados con eventos diplomáticos, aprovechando técnicas clásicas de ingeniería social.

Una evolución diseñada para complicar el análisis

SHEETCREEP no es una amenaza completamente nueva. Investigaciones anteriores ya habían documentado el uso de Google Sheets como mecanismo de control remoto. Sin embargo, la variante actual incorpora mejoras destinadas a dificultar el trabajo de analistas y herramientas de detección.

Entre los cambios observados destaca la incorporación de mecanismos de ofuscación para ocultar información crítica de configuración que anteriormente se encontraba almacenada de forma mucho más visible dentro del malware. Esto sugiere que los operadores continúan desarrollando activamente la herramienta y adaptándola tras la publicación de investigaciones públicas.

Cómo funciona la operación

La cadena de infección comienza con un archivo ISO que contiene un acceso directo malicioso. Al ejecutarlo, se despliega un malware escrito en C# que instala una carga persistente en el sistema y configura mecanismos para ejecutarse automáticamente en futuros inicios de sesión.

Una vez activo, el RAT crea un identificador único para cada víctima y utiliza una pestaña específica dentro de una hoja de cálculo de Google para intercambiar información con los operadores.

Cada sistema comprometido recibe instrucciones desde la hoja de cálculo y devuelve los resultados utilizando datos codificados, todo a través de conexiones HTTPS legítimas hacia los servicios de Google. Desde la perspectiva de muchos controles de red tradicionales, el tráfico puede parecer completamente normal.

El verdadero desafío para los defensores

Lo más interesante de SHEETCREEP no es la sofisticación técnica de cada componente individual, sino la combinación de técnicas conocidas con servicios ampliamente confiables.

Durante años, los equipos de seguridad aprendieron a buscar conexiones hacia dominios sospechosos o infraestructura controlada por atacantes. Sin embargo, campañas como esta aprovechan plataformas legítimas de uso masivo para ocultar su actividad.

Google Sheets, GitHub, Dropbox, Discord, Telegram y otros servicios cloud se han convertido en objetivos recurrentes para actores de espionaje y cibercriminales precisamente porque bloquearlos suele ser inviable para muchas organizaciones.

En este contexto, la detección deja de depender únicamente de la reputación del destino y pasa a centrarse en el comportamiento: qué proceso realiza la conexión, desde dónde, con qué frecuencia y para qué propósito.

Más allá de SHEETCREEP

La evolución de SHEETCREEP refleja una tendencia cada vez más visible en el panorama de amenazas: el abuso de infraestructuras legítimas para esconder operaciones maliciosas.

A medida que las organizaciones migran procesos, datos y comunicaciones hacia servicios cloud, los atacantes hacen exactamente lo mismo. El resultado es un escenario donde distinguir actividad legítima de actividad maliciosa se vuelve cada vez más complejo.

Y quizás esa sea la principal lección de este caso: en la nube moderna, la amenaza no siempre proviene de un servidor desconocido en algún rincón de Internet. A veces puede llegar desde una simple hoja de cálculo.