Investigadores de seguridad han identificado una familia de malware sofisticada denominada Airstalk, que afecta entornos empresariales mediante la explotación de una plataforma legítima de gestión móvil, AirWatch (VMware Workspace ONE UEM). Este malware utiliza la API de AirWatch para establecer canales de comunicación encubiertos, permitiendo a los atacantes evadir sistemas tradicionales de monitoreo y mantener acceso persistente mediante el camuflaje del tráfico malicioso dentro de llamadas legítimas a la API.
Productos afectados
| Fabricante | Producto | Componente | Plataformas/SO |
|---|---|---|---|
| VMware | Workspace ONE Unified Endpoint Management | AirWatch MDM API | Entornos empresariales gestionados (dispositivos móviles y sistemas Windows) |
Solución
Implementar controles estrictos en el acceso y monitorización de la plataforma AirWatch, además de aplicar mejoras y parches recomendados por VMware para la gestión segura del endpoint.
Recomendaciones
Priorizar la revisión y restricción de permisos otorgados a herramientas MDM; auditar llamadas API y establecer alertas para detectar patrones inusuales; mantener aisladas las comunicaciones sensibles para prevenir abusos similares. Además, validar integridad y comportamiento de sistemas clientes tras actualizaciones o incidentes sospechosos.