Un nuevo operativo de malware ha vuelto a mostrar cómo los atacantes combinan ingenio técnico con el abuso de funciones legítimas del sistema para pasar desapercibidos. Investigadores de Securonix han descrito una campaña sofisticada, bautizada como DEAD#VAX, que utiliza imágenes de disco virtual (VHD) alojadas en la red descentralizada IPFS y una cadena de ejecución por etapas para desplegar el troyano de acceso remoto conocido como AsyncRAT. Para leer el informe técnico original, puedes consultar la nota de Securonix aquí.
La infección parte de un correo de phishing con un archivo que aparenta ser una orden de compra en formato PDF, pero en realidad es un VHD alojado en IPFS. Cuando la víctima hace doble clic, el archivo se monta como si fuera una unidad, presentando dentro un archivo de script Windows Script File (WSF). Este uso de VHD como contenedor es notable porque aprovecha un mecanismo legítimo de Windows para sortear controles que analizan ficheros convencionales; la informática distribuida de IPFS facilita, además, que los actores maliciosos distribuyan cargas sin pasar por servidores tradicionales que podrían ser bloqueados o rastreados. Si quieres entender cómo funciona IPFS y por qué se está usando en estos contextos, la documentación oficial es un buen punto de partida: ipfs.io.
Dentro de la unidad montada hay un WSF que, al ejecutarse por error del usuario, lanza una serie de componentes ofuscados: scripts por lotes extremadamente enmascarados, un cargador de PowerShell que se autoanaliza y, finalmente, un shellcode x64 cifrado. Lo relevante aquí es que el payload no se graba en disco en forma de ejecutable; en su lugar, el código se descifra en memoria y se inyecta en procesos legítimos de Windows, como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe o sihost.exe. Esta técnica de ejecución en memoria reduce drásticamente las evidencias forenses y complica la detección por parte de soluciones tradicionales que se basan en firmas de archivos estáticos.
El mecanismo de persistencia también busca mimetismo con el sistema: los atacantes emplean tareas programadas para lograr reinicios persistentes y un módulo de PowerShell actúa como motor de ejecución en memoria, validando el entorno, desencriptando fragmentos incrustados y orquestando la inyección dentro de procesos firmados por Microsoft. Además, el malware regula su propio comportamiento temporal usando pausas y throttling para disminuir el uso de CPU y evitar patrones de API que disparen alertas. Esta mezcla de controles de ejecución y living-off-the-land hace que cada pieza, aislada, parezca inocua, pero en conjunto forma un flujo de ataque robusto y difícil de rastrear.
AsyncRAT, el payload final usado por los atacantes, es un proyecto con código accesible públicamente que proporciona funcionalidades de control remoto sobre un equipo comprometido: captura de teclado y pantalla, acceso a la cámara, monitoreo del portapapeles, manipulación del sistema de archivos y ejecución remota de comandos, entre otras capacidades. La existencia de versiones abiertas facilita su reutilización por actores con distintas motivaciones; la página del proyecto está disponible en GitHub para quien quiera revisarla: AsyncRAT en GitHub.
Para defensores y administradores, el cambio de paradigma es evidente: ya no basta con controlar la llegada de ejecutables. Conviene reforzar la visibilidad sobre comportamientos en memoria, monitorizar inyecciones de procesos y cadenas de creación de procesos, auditar tareas programadas y vigilar conexiones inusuales que apunten a infraestructuras descentralizadas o a pasarelas públicas de IPFS. Microsoft documenta comandos y procedimientos relacionados con la gestión de discos virtuales en Windows, lo que puede ayudar a entender por qué los VHD se montan y cómo auditar su uso: Attach-VHD (Microsoft Docs). También es recomendable revisar las guías y las mejores prácticas sobre amenazas en memoria y técnicas fileless publicadas por proveedores de seguridad y organismos oficiales para adaptar las defensas.
La observación de Securonix subraya una tendencia ya conocida en la industria de la ciberseguridad: la preferencia de los atacantes por pipelines de múltiples etapas que encadenan componentes aparentemente legítimos y por la ejecución sin dejar artefactos en disco. Este enfoque eleva la barrera para la detección y el análisis forense, y obliga a los equipos de respuesta a modernizarse, no solo con firmas más inteligentes sino con telemetría de comportamiento, aislamiento por procesos y controles sobre el uso de scripts y herramientas administrativas. Las firmas siguen siendo útiles, pero la visibilidad en tiempo de ejecución y la correlación contextual son cada vez más críticas.
En definitiva, DEAD#VAX es un recordatorio de que los adversarios siguen buscando y explotando puntos ciegos en los entornos corporativos: combinan contenedores legítimos como VHD, redes distribuidas como IPFS, técnicas de ofuscación y ejecución en memoria para entregar una carga que puede operar durante mucho tiempo sin ser detectada. La respuesta no pasa por una única medida, sino por una estrategia de defensa en profundidad que incluya control de scripts, políticas de ejecución, monitorización de procesos, análisis de comportamiento y una buena higiene operativa. Para seguir el hilo de las investigaciones y mantenerse actualizado, además del informe de Securonix conviene revisar análisis de amenazas y recursos de respuesta a incidentes en medios especializados y en los repositorios oficiales de seguridad.
Si gestionas la seguridad de endpoints o infraestructura, plantea controles que restrinjan la ejecución de scripts no firmados, que registren y alerten sobre montajes de imágenes de disco inesperados y que permitan bloquear o investigar comunicaciones hacia nodos y pasarelas no aprobadas. La nota de Securonix ofrece detalles técnicos útiles y es un buen punto de partida para adaptar las detecciones: informe completo. Y para comprender mejor el fenómeno más amplio de las amenazas que operan principalmente en memoria, los análisis de seguridad de grandes proveedores como Microsoft aportan contexto y recomendaciones prácticas sobre defensa contra técnicas fileless: Microsoft Security Blog.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...