Los investigadores de ciberseguridad están llamando la atención sobre una nueva ola de campañas que distribuyen un robador de información basado en Python llamado PXA Stealer.
Se ha evaluado que la actividad maliciosa es el trabajo de los cibercriminales de habla vietnamita que monetizan los datos robados a través de un ecosistema subterráneo basado en suscripción que automatiza la reventa y la reutilización a través de las API de telegrama, según un informe conjunto publicado por Beazley Security y Sentinelone y compartido con Hacker News.
«Este descubrimiento muestra un salto en Tradecraft, que incorpora técnicas anti-análisis más matizadas, contenido de señuelo no malicioso y una tubería de comando y control endurecida que frustra el triaje e intenta retrasar la detección», los investigadores de seguridad Jim Walter, Alex Delamotte, Francisco Donoso, Sam Mayers, Tell Hause y Bobby Venal.
Las campañas han infectado en más de 4,000 direcciones IP únicas que abarcan 62 países, incluidos Corea del Sur, Estados Unidos, los Países Bajos, Hungría y Austria. Los datos capturados a través del robador incluyen más de 200,000 contraseñas únicas, cientos de registros de tarjetas de crédito y más de 4 millones de cookies cosechadas del navegador.
PXA Stealer fue documentado por primera vez por Cisco Talos en noviembre de 2024, atribuyéndolo a ataques dirigidos a entidades gubernamentales y educativas en Europa y Asia. Es capaz de cosechar contraseñas, datos de enfoque automático del navegador, información de billeteras de criptomonedas e instituciones financieras.
Los datos robados por el malware que usan Telegram como un canal de exfiltración se alimentan a plataformas criminales como Sherlock, un proveedor de registros de Stealer, desde donde los actores de amenaza aguas abajo pueden comprar la información para participar en el robo de criptomonedas o las organizaciones de infiltrado para fines de seguimiento, alimentar un ecosistema cibernético que funciona a escala.
Las campañas que distribuyen el malware en 2025 han sido testigos de una evolución táctica constante, con los actores de amenaza que emplean técnicas de carga lateral de DLL y capas de puesta en escena elaboradas en un esfuerzo por volar bajo el radar.
La DLL maliciosa se encarga de llevar a cabo el resto de los pasos en la secuencia de infección, en última instancia allanando el camino para el despliegue del robador, pero no antes de tomar medidas para mostrar un documento de señuelo, como un aviso de infracción de derechos de autor, a la víctima.
El Stealer es una versión actualizada que cuenta con capacidades para extraer cookies de navegadores web basados en Chromium inyectando una DLL en instancias en ejecución con el objetivo de derrotar a las salvaguardas de cifrado unidas a las aplicaciones. También plunda datos de clientes VPN, utilidades de la interfaz de línea de comandos de la nube (CLI), filos de archivos conectados y aplicaciones como Discord.
«PXA Stealer usa los botids (almacenados como token_bot) para establecer el vínculo entre el bot principal y los diversos chatid (almacenados como chat_id)», dijeron los investigadores. «Los Chatids son canales de telegrama con varias propiedades, pero principalmente sirven para alojar datos exfiltrados y proporcionar actualizaciones y notificaciones a los operadores».
«Desde entonces, esta amenaza ha madurado en una operación altamente evasiva y de varias etapas impulsada por actores de habla vietnamita con vínculos aparentes con un mercado organizado basado en el telegrama cibercriminal que vende datos de víctimas robados».