Hace poco ha aflorado una campaña de suplantación que utiliza como anzuelo un instalador malicioso que aparenta ser 7‑Zip, el famoso programa de compresión. En lugar de limitarse a incluir la aplicación legítima, el paquete descargable oculta un componente malicioso cuyo objetivo principal no es robar ficheros ni cifrar discos, sino convertir el PC de la víctima en un nodo de proxy residencial que enruta tráfico ajeno a través de su conexión.
La investigación publicada por Malwarebytes detalla el funcionamiento del instalador troceado: además de instalar 7‑Zip real para no levantar sospechas, el instalador deja tres ejecutables maliciosos en el sistema (entre ellos archivos identificados como Uphero.exe, hero.exe y hero.dll) dentro de C:\Windows\SysWOW64\hero\, crea un servicio de inicio automático que corre con privilegios SYSTEM y modifica reglas de firewall mediante la utilidad netsh para aceptar conexiones entrantes y salientes. Esa configuración permite que atacantes dirijan tráfico a través de la IP de la máquina infectada, lo que convierte al equipo en parte de una red de proxies domiciliarios.
Este tipo de proxyware tiene usos legítimos en algunas redes de tráfico distribuido, pero en manos de delincuentes sirve para ocultar la procedencia de ataques, eludir bloqueos geográficos, montar campañas de credential stuffing, distribuir phishing o propagar malware. En el caso analizado, los operadores también recopilan información de la máquina objetivo mediante WMI y llamadas a las APIs de Windows —información sobre CPU, memoria, disco y la conectividad— y envían esos datos a un servicio de registro remoto para catalogar y gestionar los nodos reclutados.
Los análisis técnicos muestran que el ejecutable principal solicita configuración desde dominios con patrones “hero/smshero” que rotan, y que la comunicación de control está cifrada y ofuscada con un esquema XOR ligero. El tráfico se encamina a través de la infraestructura de Cloudflare y viaja sobre HTTPS, además de utilizar DNS over HTTPS con el resolvedor de Google, lo que reduce la visibilidad de las consultas DNS tradicionales y complica la detección por parte de defensores que monitoricen resoluciones normales. También incorpora comprobaciones para detectar entornos virtualizados (VMware, VirtualBox, QEMU, Parallels) y depuradores, comportamiento típico para evitar ser analizado en laboratorios forenses.
Quienes investigaron y dieron la voz de alarma incluyen a varios investigadores independientes y equipos de DFIR: el hallazgo del propósito real del malware está documentado por Luke Acha, mientras que la reversión del protocolo XOR y la confirmación del comportamiento proxy se atribuyen a publicaciones técnicas enlazadas desde perfiles en X como las de s1dhy y la correlación con una campaña más amplia fue comentada por Andrew Danis. Además, medios como BleepingComputer corroboraron la existencia del sitio falso que se hace pasar por la web oficial de 7‑Zip.
Un detalle importante para la cadena de confianza: el instalador malicioso estaba firmado digitalmente con un certificado que posteriormente fue revocado, originalmente emitido a Jozeal Network Technology Co., Limited. La presencia de una firma no garantiza inocuidad automática, pero revisar firmas digitales y contrastarlas con la web oficial del proyecto es una de las comprobaciones básicas que pueden ahorrar problemas.
Lo preocupante es que la campaña no se limita a la suplantación de 7‑Zip. Según el análisis, los atacantes emplean instaladores troceados haciéndose pasar por otras aplicaciones populares, como clientes VPN y apps de mensajería, con el fin de ampliar su red de nodos proxy. El reclutamiento de dispositivos se sirve de tácticas de ingeniería social: enlaces en tutoriales y vídeos en plataformas como YouTube o resultados promocionados en buscadores que apuntan a dominios que imitan a los originales.
Para reducir el riesgo, conviene recuperar algunas prácticas sencillas: descargar software siempre desde las páginas oficiales (por ejemplo, la web legítima de 7‑Zip está en https://www.7-zip.org), guardar en favoritos los portales de confianza y desconfiar de enlaces anclados en descripciones de vídeo o en anuncios. Si ya se ha ejecutado un instalador sospechoso, es recomendable desconectar la máquina de la red, revisar la existencia de carpetas y servicios con los nombres indicados, inspeccionar reglas de firewall y buscar comunicaciones salientes inusuales; para obtener indicadores de compromiso y más detalles técnicos se puede consultar la publicación de Malwarebytes mencionada arriba.
Si crees que tu equipo ha sido comprometido, la medida más segura es aislarlo y recurrir a soporte profesional: la eliminación completa en muchos casos implica restaurar desde una copia de seguridad limpia o reinstalar el sistema operativo, porque los servicios maliciosos que arrancan con SYSTEM y las modificaciones de red pueden dejar puertas traseras difíciles de erradicar con limpiezas superficiales.
En definitiva, esta campaña recuerda que los atacantes combinan ingeniería social con técnicas de ofuscación y con una infraestructura de mando y control moderna para convertir equipos domésticos en recursos explotables. Mantener el software actualizado, verificar fuentes y firmas, y recurrir a información técnica publicada por investigadores y empresas de ciberseguridad —como los informes enlazados aquí— son pasos prácticos para reducir la probabilidad de ser una pieza más en una red de proxies domiciliarios.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...