En los últimos días ha vuelto a ponerse de relieve una táctica que los delincuentes informáticos conocen bien: aprovechar el interés de los usuarios por utilidades y mods relacionados con los videojuegos para engañarlos y conseguir que ejecuten código malicioso. Según la investigación de Microsoft, grupos criminales están distribuyendo versiones troceadas —o “troyanizadas”— de herramientas de juego a través de navegadores y plataformas de mensajería; esas descargas actúan como puerta de entrada para un troyano de acceso remoto (RAT) que convierte el equipo infectado en una máquina controlada a distancia.
El esqueleto de la campaña es distintivo por su uso de herramientas legítimas del sistema para ocultar la ejecución maliciosa. Los atacantes preparan un entorno Java portátil y lanzan un archivo JAR malicioso (identificado como jd-gui.jar), apoyándose en PowerShell y en binarios del sistema conocidos como LOLBins —por ejemplo cmstp.exe— para ejecutar el código sin levantar sospechas. Microsoft publicó un hilo en X donde explica esta cadena de ataque y cómo los operadores borrean sus huellas al eliminar el descargador inicial y, además, crear exclusiones en Microsoft Defender para los componentes del RAT: medidas pensadas para dificultar la detección y la remediación. Puede consultarse el aviso de Microsoft en su publicación en X aquí: https://x.com/MsftSecIntel/status/2027070355487997998.
La persistencia en los equipos comprometidos se logra mediante la creación de una tarea programada y un script de inicio de Windows con el nombre “world.vbs”, que garantizan que el software malicioso sobreviva a reinicios y se vuelva a ejecutar. Una vez que el malware está activo, se comunica con un servidor de comando y control localizado en la dirección 79.110.49[.]15, desde donde pueden ordenarse exfiltración de datos, descarga de cargas adicionales y otras acciones remotas. Microsoft describe esta familia como “multipropósito”: un cargador, descargador y RAT a la vez, lo que subraya su capacidad para evolucionar y ampliar su impacto en la máquina infectada.
Paralelamente a estas intrusiones, empresas de ciberseguridad han detectado y analizado nuevas familias de RAT que agrupan funcionalidades que antes solían venderse por separado. Un ejemplo reciente es Steaelite, identificado por BlackFog. Según ese análisis, Steaelite fue publicitado en foros ilícitos como un “mejor RAT para Windows” con capacidades FUD (fully undetectable) y soporte para Windows 10 y 11. Lo que llama la atención es que este malware integra en un único panel web funciones de robo de información y despliegue de ransomware, con un módulo para Android en desarrollo; es decir, permite a un solo operador gestionar el acceso, extraer credenciales y desplegar cifradores desde la misma interfaz. La investigadora Wendy McCague, de BlackFog, resume el problema en una imagen preocupante: una única herramienta que facilita la doble extorsión al combinar exfiltración y cifrado desde un mismo tablero de control.
Steaelite incorpora además utilidades que facilitan la tarea del atacante: keyloggers, chat cliente-a-víctima, búsqueda de archivos, propagación vía USB, modificación del fondo de pantalla, bypass de UAC y funciones de “clipper” para robar información copiada al portapapeles. No es casualidad que estas suites también incluyan mecanismos para desactivar o confundir defensas —eliminación de malware competidor, desactivación de Microsoft Defender o configuración de exclusiones— y para establecer persistencia de forma automática.
En el mismo ecosistema se han observado otras familias de RAT como DesckVB y KazakRAT, que muestran cómo los operadores modularizan sus capacidades y las activan de manera selectiva después de la intrusión. El proyecto DesckVB está disponible públicamente como repositorio de investigación en GitHub, mientras que el análisis de KazakRAT que sugiere un posible uso por actores vinculados a campañas focalizadas en Kazajistán y Afganistán puede consultarse en el informe de Ctrl Alt Intel.
Frente a este panorama, las recomendaciones concretas de defensa son sencillas en concepto pero requieren disciplina y herramientas adecuadas. Microsoft aconseja auditar las exclusiones de Defender y las tareas programadas, eliminar tareas y scripts de inicio maliciosos, aislar los endpoints comprometidos y restablecer las credenciales de los usuarios que hayan trabajado en máquinas afectadas. Añadido a esto, conviene bloquear y monitorizar comunicaciones hacia dominios o IPs sospechosas —como la IP asociada al C2 citada— y revisar los registros de ejecución de binarios poco habituales para detectar abusos de LOLBins.
Además de las medidas reactivas, hay pasos preventivos que ayudan a reducir la probabilidad de infección. Mantener el software actualizado, evitar instalar runtimes o herramientas portátiles que no provengan de fuentes verificadas, comprobar firmas y sumas de verificación de los archivos descargados y limitar los privilegios locales impiden que una descarga engañosa se convierta en una intrusión persistente. Las organizaciones deberían activar la protección de integridad y la protección contra manipulación en sus soluciones antivirus, desplegar capacidades EDR que registren comportamiento sospechoso (por ejemplo uso inusual de cmstp.exe o PowerShell) y contar con copias de seguridad sólidas y verificadas fuera de línea para mitigar el impacto de un posible ransomware. Para entender mejor el fenómeno de los LOLBins puede consultarse el proyecto LOLBAS, que documenta cómo los binarios legítimos se utilizan para fines maliciosos: https://lolbas-project.github.io/.
La seguridad efectiva ante amenazas como estas combina higiene digital básica, políticas de control de aplicaciones, monitorización de red y respuesta rápida. Agotar las vías de entrada —no abrir ejecutables descargados de fuentes no fiables, configurar restricciones de ejecución y revisar exclusiones de antimalware— reduce enormemente el riesgo. Para guías prácticas y medidas de resiliencia frente a amenazas de doble extorsión y ransomware, las agencias como CISA mantienen recursos y guías que pueden servir de referencia: https://www.cisa.gov/resources-tools.
Si usas tu equipo para jugar o trastear con utilidades comunitarias, recuerda que la conveniencia puede tener un coste: descargar y ejecutar sin verificar es la vía más frecuente para introducir un RAT en tu sistema. La contrastación de fuentes, la prudencia con los ejecutables y una buena política de seguridad en tu entorno personal o corporativo son las mejores defensas para que una sesión de juego no termine convirtiéndose en un acceso remoto no autorizado.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...