https://www.cotillon-de-fete.fr/tours-gratuits-acceptant-les-joueurs-belges-casino-en-ligne/
Friday, July 10, 2026

El nuevo GigaWiper Windows Backdoor incluye limpieza de disco, ransomware falso y software espía

TecnologíaEl nuevo GigaWiper Windows Backdoor incluye limpieza de disco, ransomware falso y software espía

Microsoft ha desmantelado una puerta trasera destructiva de Windows que llama GigaWiper. Lo que destaca es cómo está construido: no una herramienta sino tres programas destructivos antiguos unidos en uno, ofrecidos como comandos entre los que el operador puede elegir.

Cada una es una forma diferente de dañar una máquina: borrar todo el disco, sobrescribir la unidad de Windows o ejecutar un “ransomware” falso que codifica archivos con una clave que nunca guarda.

Debido a que se trata de malware y no de un solo defecto, no hay ningún parche que buscar; GigaWiper es lo que ejecuta un atacante después de que ya está dentro, lo que hace que la detección temprana y las copias de seguridad limpias y fuera de línea sean la verdadera defensa.

Los mismos archivos maliciosos aparecen en un segundo informe con otro nombre: CONEJO AZULuna puerta trasera de Binary Defense señalada el mes pasado.

Microsoft enumera cuatro hashes para la puerta trasera GigaWiper; Binary Defense enumera los mismos cuatro para BLUERABBIT, y ambos servidores de comando coinciden. Binary Defense, citando al Threat Intelligence Group de Google, vincula el malware con un probable grupo nexo con Irán dirigido a organizaciones israelíes. Microsoft no nombra ningún país.

Tres formas de destruir una máquina

GigaWiper está escrito en Go (también llamado Golang) y se ejecuta en Windows. Toma las órdenes como comandos numerados, y tres de ellas destruyen la máquina, cada una de forma diferente:

  • Un limpiador de disco sin formato que sobrescribe la unidad física y borra la tabla de particiones (el mapa de cómo está distribuido el disco) antes de reiniciar. No es posible revertir la eliminación archivo por archivo; destruye el contenido del disco directamente.
  • ransomware falso creado a partir de un código antiguo llamado en la cruz. Cifra archivos, agrega una extensión .candy y cambia el fondo de pantalla del escritorio a una imagen de advertencia alarmante. No hay nota de rescate ni clave guardada, por lo que no hay nada que pagar ni nada que descifrar. Esto es destrucción disfrazada de ransomware.
  • El último apunta a la unidad de Windows, sobrescribiéndola varias veces con diferentes patrones de datos. Microsoft dice que es una reescritura de Go de un limpiador que rastrea como FlockWiper.

Ninguno de estos deja un camino de regreso: los archivos cifrados no se pueden desbloquear porque la clave ya no está, y las unidades borradas solo se pueden reconstruir a partir de copias de seguridad limpias. El objetivo es una máquina muerta, no un pago.

También espía

La destrucción es sólo la mitad. La misma puerta trasera puede vigilar y controlar silenciosamente una PC infectada. Toma capturas de pantalla de cada monitor, graba la pantalla mientras alguien está trabajando y puede abrir una sesión VNC oculta que transmite la pantalla y permite al atacante escribir y mover el mouse.

También recopila detalles del sistema, administra programas y servicios en ejecución, edita el registro y puede borrar los registros de eventos de Windows para cubrir sus huellas. Microsoft encontró más comandos inactivos en las muestras que examinó, incluidos códigos auxiliares para un registrador de teclas y limpiadores adicionales.

Para permanecer fuera de la vista, GigaWiper pretende ser OneDrive. Crea una tarea programada llamada OneDrive Update que se ejecuta cada minuto y se rastrea en una clave de registro en HKCUSOFTWAREOneDriveEnvironment. Cuando abre su canal de control remoto, se esconde detrás de una regla de firewall que lleva el nombre de un componente real de Windows, Microsoft.Windows.CloudExperienceHost.

Para su tráfico de comandos, omite las solicitudes web ordinarias y, en su lugar, utiliza servicios empresariales reales: RabbitMQ para tareas, Redis para resultados y MinIO para exfiltración. Debido a que se trata de herramientas legítimas y no de un canal de malware personalizado, el tráfico parece normal en las redes que ya las ejecutan.

De donde vino GigaWiper

Microsoft rastrea el código de ransomware falso de GigaWiper hasta Crucio y su limpiador de múltiples pasadas hasta FlockWiper, y evalúa que el mismo desarrollador creó los tres. No nombra ningún país. Pero Crucio no es anónimo. Su código figuraba como sospechoso de ransomware en un aviso de CISA de diciembre de 2023 sobre CyberAv3ngers, un grupo vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán.

Se trata del mismo equipo, informó THN, que irrumpió en sitios de agua y energía en los EE. UU., Israel, el Reino Unido e Irlanda en 2023, iniciando sesión en controladores industriales expuestos a Internet. En un caso, tomaron el control de una estación de refuerzo en una autoridad de agua de Pensilvania. La muestra de Crucio que cita Microsoft lleva la misma huella digital que figura en ese aviso.

Microsoft también encontró una etiqueta recurrente, “GRAT”, tanto en las rutas de depuración de FlockWiper como en los nombres de las funciones propias de GigaWiper, uniendo las dos herramientas e insinuando un componente adicional que aún no ha aparecido. El momento difiere según la fuente: Microsoft fecha la actividad destructiva en octubre de 2025, mientras que Binary Defense vio por primera vez los mismos archivos que BLUERABBIT en marzo de 2026.

Parte de una ola más grande

La actividad de limpieza vinculada a Irán contra Israel ha generado repetidas advertencias hasta 2025 y 2026. La Unidad 42 de Palo Alto Networks ha rastreado un aumento paralelo, en gran parte proveniente de un grupo separado, Handala Hack, y en marzo de 2026, la Dirección Cibernética Nacional de Israel advirtió sobre ataques de limpieza iraníes contra organizaciones locales.

La táctica que utiliza GigaWiper es antigua: NotPetya en 2017 también se hizo pasar por ransomware mientras destruía datos silenciosamente. El disfraz le da tiempo al atacante: una máquina destrozada primero parece un caso de ransomware del que alguien podría recuperarse, no la pérdida total que es.

Microsoft enmarca a GigaWiper como operadores que combinan herramientas separadas en una plataforma flexible. Para los defensores, la consecuencia es concreta: cuando un solo implante puede vigilar, robar o destruir, la herramienta ya no revela el objetivo. Solías leer la intención del malware que encontrabas; aquí el operador decide cuando ya están dentro.

Una plataforma, dos nombres de proveedores y códigos auxiliares inactivos que aún están en el código indican que aún se está desarrollando una herramienta.

¿Qué deben hacer los defensores?

Detectarlo rápidamente se reduce a algunas señales específicas:

  • Una tarea programada de actualización de OneDrive que se repite cada minuto.
  • Tráfico de RabbitMQ o Redis desde escritorios normales en lugar de servidores.
  • Procesos que utilizan takeown e icacls para tomar posesión de los archivos de arranque de Windows como bootmgr y ntoskrnl.exe fuera de las ventanas de mantenimiento.

En lo que respecta al producto, Microsoft recomienda activar la protección contra manipulaciones para que los atacantes no puedan desactivar su antivirus, bloquear los dos servidores de comando conocidos (185.182.193(.)21 y 212.8.248(.)104), ejecutar la detección de puntos finales en modo de bloqueo y habilitar la protección entregada en la nube y la corrección automática. La lista completa de hashes de archivos, direcciones de servidores y nombres de detección se encuentra en el informe de Microsoft.

The Hacker News se comunicó con Microsoft y Binary Defense para confirmar que GigaWiper y BLUERABBIT son el mismo malware y para obtener detalles sobre el alcance y la atribución de las víctimas, y actualizará esta historia con cualquier respuesta.

Artículos más populares