Panel de WordPress wp-admin junto a un perfil de Steam mostrando caracteres Unicode ocultos usados por el malware en WordPress como C2.

Malware en WordPress oculta payloads en perfiles de Steam

Malware en WordPress está infectando casi 2.000 sitios web y usando perfiles públicos de Steam como canal de mando y control, según GoDaddy. Además, los atacantes esconden las cargas maliciosas dentro de caracteres Unicode invisibles en los comentarios del perfil, lo que dificulta la detección por parte de scanners tradicionales. Por lo tanto, cualquier sitio WordPress comprometido puede recibir órdenes nuevas sin generar tráfico hacia dominios sospechosos. En este sentido, la técnica marca un nuevo nivel de creatividad ofensiva contra el CMS más usado del mundo.

Malware en WordPress: cómo opera la campaña

Por su parte, los investigadores de GoDaddy detectaron que los sitios infectados ejecutan un script PHP malicioso que consulta periódicamente un perfil de Steam predefinido. De hecho, en ese perfil los atacantes escriben comentarios con caracteres invisibles —espacios en blanco Unicode, tags HTML codificados— que el script decodifica como nuevas instrucciones.

Asimismo, el vector inicial de infección suele ser un plugin o tema comprometido, o credenciales de administrador débiles obtenidas por phishing o fuerza bruta. En consecuencia, una vez instalado, el script PHP puede ejecutar comandos arbitrarios sin que el firewall del sitio detecte llamadas externas a dominios maliciosos.

Por qué usar Steam como canal C2

En primer lugar, los perfiles de Steam son URLs públicas, legítimas y de alta reputación. Por otro lado, ningún WAF razonable bloqueará tráfico hacia steamcommunity.com. Por lo tanto, el atacante consigue persistencia y sigilo en una sola jugada, abusando de una plataforma con cientos de millones de usuarios reales.

Además, los atacantes pueden actualizar la carga simplemente editando un comentario del perfil — no necesitan registrar dominios nuevos, ni rotar IPs, ni invertir en infraestructura. En la práctica, esto reduce sus costos operativos a casi cero y los hace prácticamente invisibles para investigaciones DNS o WHOIS.

Cómo defenderse del malware en WordPress

Aun así, las medidas defensivas no cambian: mantener plugins y temas actualizados, aplicar MFA en wp-admin, usar contraseñas largas y monitorear cambios inesperados en archivos PHP. Por su parte, los administradores deben auditar el tráfico saliente del servidor — cualquier llamada periódica a steamcommunity.com desde el backend de WordPress es sospechosa. Para más recursos sobre seguridad de sitios WordPress, encontrarás más artículos sobre WordPress y ciberseguridad en nuestro blog.

Finalmente, este caso confirma una tendencia clara: los atacantes están migrando hacia plataformas legítimas —Steam, GitHub, Discord, Telegram— para esconder su C2 dentro del tráfico normal de internet. En definitiva, el perímetro tradicional ya no alcanza; toca mirar el comportamiento.

Recuerda que estaremos publicando constantemente en nuestro blog más contenido sobre tecnología.

Puedes encontrarnos en Facebook y LinkedIn para más contenido relacionado con seguridad en internet y muchos temas más.

Fuentes: Bleeping Computer, GoDaddy Security.

Posted in Seguridad, Wordpress