En los últimos meses ha emergido una campaña que combina una ingeniería social ingeniosa con técnicas avanzadas de sigilo para propagar un nuevo cargador de malware bautizado como DeepLoad. Lo que la hace especialmente preocupante no es solo su capacidad de intrusión, sino la forma deliberada en que intenta camuflarse entre procesos legítimos de Windows y evitar tanto el análisis estático como muchos controles de seguridad habituales, según han señalado investigadores que han documentado la amenaza.
El punto de entrada no es un exploit sofisticado sino una trampa psicológica: una variante del señuelo conocido como "ClickFix", que persuade a la víctima para que pegue y ejecute un comando en el cuadro Ejecutar de Windows con la excusa de arreglar un supuesto problema inexistente. Ese comando invoca mshta.exe, una utilidad legítima del sistema que descarga y ejecuta un script de PowerShell ofuscado. El uso de mshta para ejecutar cargas útiles ha sido descrito por analistas como un ejemplo de "Signed Binary Proxy Execution", una técnica que abusa de binarios confiables del sistema para ejecutar código malicioso (MITRE ATT&CK — mshta). Para entender cómo funciona mshta en Windows puede consultarse la documentación oficial de Microsoft (mshta — Microsoft Docs).
Una vez en ejecución, el loader muestra un patrón calculado de evasión: su código está deliberadamente lleno de asignaciones y nombres sin sentido para ocultar la lógica real y confundir firmas estáticas. Los analistas que investigaron el hallazgo creen que los atacantes se apoyaron en herramientas de inteligencia artificial para generar esa capa de ofuscación, una tendencia que está ganando fuerza en la escena del malware porque permite producir código “ruidoso” y variable con poco esfuerzo humano. DeepLoad además evita dejar rastros fácilmente detectables, recurriendo a técnicas como deshabilitar el historial de comandos de PowerShell y, en lugar de invocar cmdlets estándar, llamar directamente a funciones nativas de Windows para crear procesos y manipular memoria, lo que esquiva muchas trazas que monitorean actividad de PowerShell.
El cargador también tira de trucos para que su binario se confunda con componentes legítimos del sistema: incrusta la carga en un ejecutable con un nombre que hace pensar en el gestor de pantalla de bloqueo de Windows, y compone una segunda pieza de forma dinámica usando la capacidad de PowerShell Add-Type para compilar y ejecutar código C# en memoria. Esa operación produce una DLL temporal escrita en la carpeta Temp con nombres cambiantes cada ejecución, lo que dificulta detección basada en firmas o en nombres de archivo repetidos. La documentación de Add-Type en PowerShell es un buen punto de referencia para comprender cómo se aprovecha esta funcionalidad (Add-Type — Microsoft Docs).
En la fase de ejecución del payload principal, DeepLoad recurre a inyección por Asynchronous Procedure Call (APC), una forma de ejecutar código dentro de procesos confiables. La rutina consiste en lanzar un proceso objetivo en estado suspendido, escribir shellcode directamente en su memoria y reanudarlo, evitando así dejar un ejecutable decodificado en disco. Técnicas de inyección de procesos como esta se engloban en las categorías que describe MITRE bajo "Process Injection" (MITRE ATT&CK — Process Injection), y su uso reduce la visibilidad frente a controles tradicionales que buscan archivos o llamadas típicas de PowerShell.
El objetivo funcional del malware no es únicamente persistir: está orientado a la exfiltración de credenciales. Extrae contraseñas almacenadas en navegadores y deja instalada una extensión maliciosa que captura credenciales en tiempo real cuando los usuarios rellenen formularios de acceso, además de mantenerse residente entre sesiones. También incorpora un mecanismo de propagación por medios extraíbles que copia accesos directos con nombres atractivos —por ejemplo, atajos que simulan instaladores de navegadores o de herramientas de soporte remoto— para inducir a la ejecución cuando otro usuario doble clickea el archivo en una máquina diferente.
La persistencia silenciosa es otro punto a destacar: DeepLoad hace uso de Windows Management Instrumentation (WMI) para reinyectarse en sistemas que parecían "limpios" días después, sin interacción adicional del atacante. WMI permite crear suscripciones de eventos que desencadenan la ejecución posterior del código malicioso y, de paso, rompe las cadenas padre-hijo de procesos que muchas reglas de detección rastrean, dificultando el seguimiento clásico de actividad maliciosa (MITRE ATT&CK — WMI).
El retrato que resulta de todas estas técnicas es el de un cargador multipropósito diseñado para operar furtivamente, moverse con rapidez y ofrecer a los atacantes capacidades de robo de credenciales, movimiento lateral y ejecución remota, todo mientras reduce la superficie de detección al evitar artefactos obvios en disco y mimetizarse con procesos del sistema.
Al mismo tiempo que se hacía pública la investigación sobre DeepLoad, otra casa de seguridad describió una campaña paralela que reutiliza atajos de Internet (archivos .url) como vector inicial. En ese caso, un loader llamado Kiss Loader se estuvo distribuyendo a través de emails de phishing que enlazan a recursos WebDAV en dominios alojados mediante TryCloudflare. El atajo inicial descarga otro acceso directo que se hace pasar por un PDF; al ejecutarse, lanza un script WSH que ejecuta JavaScript, luego un archivo por lotes que muestra un PDF señuelo, establece persistencia en la carpeta de Inicio y descarga un cargador escrito en Python. Ese loader finalmente descifra y ejecuta una variante de RAT (Venom/AsyncRAT) también usando APC para inyección. La firma de seguridad detrás del reporte aportó detalles sobre este proceso y sus etapas de entrega y persistencia.
Estos incidentes ponen de manifiesto varias lecciones para defensores y responsables de seguridad. Por un lado, la creciente sofisticación en la ofuscación, probablemente asistida por herramientas de IA, encarece el trabajo de las soluciones basadas exclusivamente en firmas estáticas. Por otro, la explotación de utilidades legítimas de Windows y mecanismos como WMI o mshta subraya la importancia de combinar controles de prevención con telemetría avanzada que detecte comportamientos anómalos y correlacione señales a lo largo del tiempo. La atención sobre suscripciones WMI, la ejecución desde ubicaciones temporales, la aparición de procesos hijos no habituales y la monitorización de la creación de DLLs o inyecciones en memoria son elementos que deberían ganar prioridad en las políticas de detección.
Si se busca profundizar en los informes y en el análisis técnico, resulta útil revisar la documentación y los reportes publicados por las empresas de análisis que han investigado estos casos. La página corporativa de ReliaQuest y los medios especializados han recogido los hallazgos sobre DeepLoad, mientras que firmas como G DATA han documentado Kiss Loader y su cadena de entrega. Para consulta general sobre las técnicas técnicas utilizadas conviene remitirse a recursos consolidados como MITRE ATT&CK y la documentación oficial de Microsoft sobre las herramientas y APIs implicadas (ReliaQuest, The Hacker News, G DATA, MITRE ATT&CK, Microsoft Docs).
La conclusión para responsables de seguridad y usuarios es clara: no basta con confiar en bloqueos basados en archivos y firmas. La defensa efectiva debe incorporar controles de comportamiento, segmentación de privilegios, restricciones a la ejecución de utilidades del sistema desde contextos no esperados y educación continua del usuario para resistir trampas de ingeniería social. El panorama de amenazas se está tornando más dinámico y automatizado; adaptarse a esa realidad ya no es opcional, es urgente.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...