Investigadores de seguridad cibernética han descubierto una campaña maliciosa sofisticada que explota la popularidad de Una Batalla tras otra (One Battle After Another), filme de Paul Thomas Anderson lanzado el 26 de septiembre de 2025 con Leonardo DiCaprio y Sean Penn, mediante torrents falsificados.
Los archivos contienen un Troyano de Acceso Remoto (RAT) llamado Agent Tesla distribuido a través de un vector de ataque particularmente ingenioso: scripts maliciosos incrustados dentro de archivos de subtítulos.
El hallazgo fue identificado por investigadores de Bitdefender, quienes observaron un pico anormal en detecciones relacionadas con el film. El torrent falso contenía miles de sembradores y descargadores, sugiriendo que múltiples usuarios fueron comprometidos sin saberlo. La cadena de infección fue diseñada para ser extraordinariamente sigilosa y complicada, eludiendo mecanismos de detección tradicionales.
El archivo descargado incluía un acceso directo (CD.lnk) presentado como lanzador de película. Sin embargo, al ejecutar este acceso directo, se lanzan comandos de Windows que extraen y ejecutan un script PowerShell malicioso empotrado en el archivo de subtítulos (Part2.subtitles.srt) entre las líneas 100 y 103. El archivo de subtítulos contiene código malicioso disfrazado entre líneas legítimas de subtítulos, un método de ofuscación extremadamente efectivo.
Los scripts PowerShell extraídos actúan como descargadores de malware, ejecutando una cadena de cinco etapas: extraer el archivo m2ts como archivo comprimido, crear tareas programadas ocultas, decodificar datos binarios embebidos en archivos JPG, establecer directorios de caché de diagnósticos de Windows, y finalmente extraer el payload final (Agent Tesla) cargándolo directamente en memoria.
Agent Tesla, un RAT activo desde 2014, posee capacidades de robo de credenciales de navegadores, correo electrónico, FTP y VPN, captura de pantallas, y vigilancia persistente. Bitdefender advierte que este método representa un vector de ataque emergente particularmente peligroso, aprovechando tanto la confianza de usuarios en archivos de subtítulos como la sofisticación técnica de scripts PowerShell.
