Los investigadores de ciberseguridad han llamado la atención sobre un nuevo malware modular llamado TELEPUZ que se ha estado propagando a través de sitios web infectados con señuelos ClickFix desde finales de abril de 2026.
“El malware tiene todas las funciones, es liviano y modular”, dijo el investigador de Elastic Security Labs, Cyril François, en un informe técnico. “Si bien el número de dominios C2 (comando y control) es actualmente pequeño, el volumen diario de compilaciones cargadas en VirusTotal y el rápido ritmo de las actualizaciones indican un desarrollo activo y probablemente un mayor crecimiento”.
La divulgación lo convierte en el segundo nuevo actor de amenazas después de SCMBANKER que se propaga a través de ClickFix, un ataque generalizado de ingeniería social que engaña a los usuarios para que ejecuten manualmente comandos maliciosos disfrazándolos de correcciones inocentes para errores falsos del navegador, actualizaciones de software o verificaciones CAPTCHA.
La técnica se basa en un enfoque llamado secuestro del portapapeles. Debido a que las páginas web que utilizan ClickFix inyectan scripts o comandos maliciosos en el portapapeles de una víctima potencial y brindan instrucciones para pegarlos y ejecutarlos, también se lo conoce como pastejacking.
La cadena de ataque ClickFix vinculada a TELEPUZ da como resultado la ejecución de PowerShell, que descarga una carga útil de segunda etapa desde una URL remota y la ejecuta. La carga útil es una variante Go de Vidar Stealer, que se sabe que recopila datos confidenciales de hosts infectados e implementa malware secundario, en este caso un binario stager que es responsable de iniciar TELEPUZ (“telepuz.dll”) usando “rundll32.exe”. Tanto el binario stager como el DLL principal se recuperan del dominio “hurgadatour(.)shop”.
Escrito en C, TELEPUZ es liviano y modular, y muestra signos de que fue desarrollado por un desarrollador en solitario o un equipo muy pequeño con experiencia en codificación. Un volumen constante de envíos diarios de VirusTotal asociados con la amenaza sugiere que probablemente se ofrezca bajo un modelo de malware como servicio (MaaS).
TELEPUZ también incorpora una serie de técnicas de ofuscación, como instrucciones basura que no tienen ningún propósito funcional, hash de nombres de importación para resolver importaciones, cifrado de cadenas y llamadas indirectas al sistema, para frustrar los esfuerzos de análisis.
Luego procede a realizar comprobaciones anti-VM y de geolocalización verificando las limitaciones de hardware, como si la máquina tiene menos de dos CPU, menos de 2 GB de memoria o espacio en disco insuficiente, y garantiza que el identificador local del sistema (LCID) no esté entre una lista codificada de países de la Comunidad de Estados Independientes (CEI).

Además de eso, el malware compara el nombre de usuario actual y el nombre de la computadora con una lista codificada de identificadores de investigación de malware y entornos aislados comunes. El objetivo de estas comprobaciones es finalizar la ejecución inmediatamente si se detecta un entorno virtualizado o de espacio aislado, o una ubicación geográfica no autorizada.
Una vez que se pasan todas las comprobaciones, TELEPUZ toma medidas para deshabilitar el monitoreo de seguridad desenganchando NTDLL, desactivando la interfaz de escaneo antimalware (AMSI) y el seguimiento de eventos para Windows (ETW) y eliminando las devoluciones de llamada de DllNotification de terceros, que permiten que una aplicación reciba alertas cuando se carga o descarga una DLL.
La rutina de evasión de defensa va seguida de comprobaciones para detectar la presencia de depuradores y bloquearlos. Luego recupera el ID del proceso principal y valida el nombre del proceso principal con una lista de ejecutores conocidos, como “rundll32.exe” y “svchost.exe”. En la etapa final, genera un identificador de víctima único que se obtiene concatenando el número de serie del hardware, el nombre de la computadora y la fecha de instalación del sistema operativo.
“Después de una identificación exitosa de la sesión, el malware genera dos subprocesos simultáneos: uno dedicado a elevarse e instalar el malware como un servicio, y el otro para iniciar el ciclo de comunicación C2”, dijo François. “El hilo de instalación comienza elevándose a administrador utilizando la técnica de apodo de elevación COM”.
“Al alcanzar la elevación y dependiendo de la configuración, TELEPUZ intenta obtener el privilegio del SISTEMA robando el token del primer proceso encontrado con uno de los siguientes nombres: spoolsv.exe, msdtc.exe, WmiPrvSE.exe, svchost.exe. Luego, se registra como un servicio creando las claves de registro necesarias para indicarle a Windows que cargue el malware dentro de una nueva instancia de svchost.exe”.
Al mismo tiempo, el malware intenta establecer contacto con su servidor C2 hasta 10 veces. Si estos intentos fracasan, TELEPUZ intenta recuperar la dirección C2 alternativa utilizando cuatro métodos diferentes:
- Extrayendo una URL cifrada de la descripción de un perfil de Telegram (“t(.)me/chanadarkpart”). El canal fue creado el 28 de abril de 2026.
- Extrayendo una URL cifrada de un perfil de la Comunidad Steam. La URL apunta a la misma dirección C2 que se encuentra en el canal de Telegram.
- Al ejecutar una consulta DNS para el código base del código de dominio(.)com, extrae y descifra la dirección C2 alternativa.
- Extrayendo una URL cifrada de un contrato inteligente de blockchain de Polygon.
TELEPUZ utiliza el servidor C2 para establecer comunicación mediante WebSockets con TLS opcional y espera instrucciones del operador, lo que le permite realizar una amplia gama de acciones maliciosas, incluida la enumeración de archivos, operaciones de archivos, registro de pulsaciones de teclas, ejecución de comandos, gestión de procesos, captura de pantalla, inyección web y extracción de cookies para navegadores basados en Chromium. También puede descargar y ejecutar ejecutables y módulos DLL.
El componente del inyector web también puede comunicarse directamente con el servidor C2 para recibir y ejecutar comandos dirigidos a navegadores basados en Chromium y Mozilla Firefox. Los comandos permiten desviar cookies y ejecutar JavaScript arbitrario en los navegadores aprovechando el protocolo Chrome DevTools Protocol (CDP) y el protocolo WebDriver BiDi.
“Su número limitado sugiere que lo que pensamos es un MaaS todavía está en sus primeras etapas, a pesar del gran volumen de construcciones generadas”, dijo Elastic. “Si bien los dominios provisionales están protegidos por Cloudflare, ocultando sus verdaderas ubicaciones de alojamiento, los servidores C2 han sido identificados como sitios web comprometidos ubicados en Brasil e India, respectivamente”.