Investigadores de ciberseguridad han revelado detalles de una nueva campaña de criptojacking que utiliza paquetes de software pirateados como señuelo para implementar un programa minero XMRig personalizado en hosts comprometidos.
«El análisis del cuentagotas recuperado, los desencadenantes de persistencia y la carga útil de minería revela una infección sofisticada de múltiples etapas que prioriza la máxima tasa de hash de minería de criptomonedas, lo que a menudo desestabiliza el sistema de la víctima», dijo el investigador de Trellix Aswath A en un informe técnico publicado la semana pasada.
«Además, el malware exhibe capacidades similares a las de un gusano, propagándose a través de dispositivos de almacenamiento externos, permitiendo el movimiento lateral incluso en entornos con espacios aislados».
El punto de entrada del ataque es el uso de señuelos de ingeniería social, que anuncian software premium gratuito en forma de paquetes de software pirateados, como instaladores de suites de productividad de oficina, para engañar a los usuarios desprevenidos para que descarguen ejecutables con malware.
El binario actúa como el sistema nervioso central de la infección y cumple diferentes funciones como instalador, guardián, administrador de carga útil y limpiador para supervisar diferentes aspectos del ciclo de vida del ataque. Presenta un diseño modular que separa las funciones de monitoreo de las cargas útiles principales responsables de la minería de criptomonedas, la escalada de privilegios y la persistencia si se termina.
Esta flexibilidad, o cambio de modo, se logra mediante argumentos de línea de comandos:
- Sin parámetro, para validación y migración del entorno durante la fase inicial de instalación.
- 002 Re:0, para soltar las cargas útiles principales, iniciar el minero e ingresar a un bucle de monitoreo.
- 016, para reiniciar el proceso minero si se mata.
- barusu, por iniciar una secuencia de autodestrucción al eliminar todos los componentes de malware y eliminar archivos.
Dentro del malware hay una bomba lógica que opera recuperando la hora del sistema local y comparándola con una marca de tiempo predefinida.
- Si es antes del 23 de diciembre de 2025, el malware continúa instalando los módulos de persistencia y ejecutando el minero.
- Si es después del 23 de diciembre de 2025, el binario se lanza con el argumento «barusu», lo que da como resultado un «desmantelamiento controlado» de la infección.
La fecha límite estricta del 23 de diciembre de 2025 indica que la campaña fue diseñada para ejecutarse indefinidamente en sistemas comprometidos, y la fecha probablemente indique la expiración de la infraestructura de comando y control (C2) alquilada, un cambio previsto en el mercado de las criptomonedas o un paso planificado hacia una nueva variante de malware, dijo Trellix.
 |
| Título: Inventario general de archivos |
En el caso de la rutina de infección estándar, el binario, que actúa como un «portador autónomo» para todas las cargas maliciosas, escribe los diferentes componentes en el disco, incluido un ejecutable legítimo del servicio de telemetría de Windows que se utiliza para descargar la DLL del minero.
También se eliminan archivos para garantizar la persistencia, finalizar las herramientas de seguridad y ejecutar el minero con privilegios elevados mediante el uso de un controlador legítimo pero defectuoso («WinRing0x64.sys») como parte de una técnica llamada «traiga su propio controlador vulnerable» (BYOVD). El controlador es susceptible a una vulnerabilidad rastreada como CVE-2020-14979 (puntuación CVSS: 7,8) que permite la escalada de privilegios.
La integración de este exploit en el minero XMRig tiene como objetivo tener un mayor control sobre la configuración de bajo nivel de la CPU y aumentar el rendimiento de la minería (es decir, el hashrate de RandomX) entre un 15% y un 50%.
«Una característica distintiva de esta variante XMRig es su agresiva capacidad de propagación», dijo Trellix. «No depende únicamente de que el usuario descargue el dropper; intenta activamente propagarse a otros sistemas a través de medios extraíbles. Esto transforma el malware de un simple troyano a un gusano».
La evidencia muestra que la actividad minera tuvo lugar, aunque esporádicamente, a lo largo de noviembre de 2025, antes de dispararse el 8 de diciembre de 2025.
«Esta campaña sirve como un potente recordatorio de que el malware comercial continúa innovando», concluyó la empresa de ciberseguridad. «Al encadenar ingeniería social, enmascaramientos de software legítimo, propagación tipo gusano y explotación a nivel de kernel, los atacantes han creado una botnet resistente y altamente eficiente».
 |
| Leyenda: Una topología de «vigilancia circular» para garantizar la persistencia |
La divulgación se produce cuando Darktrace dijo que identificó un artefacto de malware probablemente generado utilizando un modelo de lenguaje grande (LLM) que explota la vulnerabilidad React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) para descargar un kit de herramientas Python, que aprovecha el acceso para eliminar un minero XMRig ejecutando un comando de shell.
«Si bien la cantidad de dinero generada por el atacante en este caso es relativamente baja, y la criptominería está lejos de ser una técnica nueva, esta campaña es una prueba de que los LLM basados en IA han hecho que el cibercrimen sea más accesible que nunca», dijeron los investigadores Nathaniel Bill y Nathaniel Jones.
«Una sola sesión de activación con un modelo fue suficiente para que este atacante generara un marco de explotación funcional y comprometiera más de noventa hosts, lo que demuestra que no se debe subestimar el valor operativo de la IA para los adversarios».
Los atacantes también han estado utilizando un conjunto de herramientas denominado ILOVEPOOP para buscar sistemas expuestos que aún sean vulnerables a React2Shell, probablemente en un esfuerzo por sentar las bases para futuros ataques, según la API WhoisXML. La actividad de investigación se ha dirigido particularmente a organizaciones gubernamentales, de defensa, financieras e industriales en los EE. UU.
«Lo que hace que ILOVEPOOP sea inusual es una falta de coincidencia entre cómo se construyó y cómo se usó», dijo Alex Ronquillo, vicepresidente de producto de WhoisXML API. «El código en sí refleja un conocimiento de nivel experto sobre los componentes internos de React Server y emplea técnicas de ataque que no se encuentran en ningún otro kit React2Shell documentado».
«Pero las personas que lo implementaron cometieron errores operativos básicos al interactuar con los sistemas de monitoreo de honeypot de la API WhoisXML, errores que un atacante sofisticado normalmente evitaría. En términos prácticos, esta brecha apunta a una división del trabajo».
«Podríamos estar analizando dos grupos diferentes: uno que creó la herramienta y otro que la está usando. Vemos este patrón en las operaciones patrocinadas por el estado: un equipo capaz desarrolla las herramientas y luego las entrega a los operadores que ejecutan campañas de escaneo masivo. Los operadores no necesitan entender cómo funciona la herramienta, solo necesitan ejecutarla».