Un fallo de seguridad en el panel web que utilizan los operadores del info-stealer conocido como StealC ha permitido a investigadores de ciberseguridad recoger información valiosa sobre uno de los actores que emplea ese malware. Gracias a una vulnerabilidad de tipo cross-site scripting (XSS) en la interfaz de administración, los expertos consiguieron obtener huellas de sistemas, supervisar sesiones activas e incluso exfiltrar las cookies de la propia infraestructura destinada a robarlas.
StealC es un ladrón de información que apareció a principios de 2023 y se ha comercializado bajo un modelo de malware como servicio (MaaS), lo que facilita que terceros sin grandes conocimientos técnicos lo utilicen para campañas masivas. Entre sus vectores de distribución ha destacado el uso de YouTube para promocionar archivos supuestamente “crackeados” de software popular —un mecanismo que algunos investigadores han denominando la YouTube Ghost Network—, aunque también se le ha visto propagándose mediante archivos maliciosos que suplantan recursos legítimos o con técnicas de ingeniería social como los señuelos tipo FileFix.
Con el paso del tiempo StealC incorporó nuevas funcionalidades: integración con bots de Telegram para notificaciones, mejoras en la entrega de payloads y una renovación de su panel de administración, versión que llegó a denominarse StealC V2. Semanas después, el código fuente del panel fue filtrado públicamente, lo que ofreció a la comunidad de análisis la oportunidad de estudiar cómo opera la infraestructura y extraer indicadores presentes en los sistemas de los operadores, incluidos datos de hardware, pistas geográficas y cookies de sesión.
Los detalles técnicos concretos de la vulnerabilidad XSS no se han hecho públicos para evitar que los desarrolladores cierren el agujero de inmediato o para impedir que otros actores maliciosos reutilicen el panel filtrado para crear sus propios servicios de malware. No obstante, conviene recordar que las vulnerabilidades XSS consisten en inyecciones del lado del cliente que permiten ejecutar código JavaScript malicioso en el navegador de la víctima cuando una página vulnerable procesa entradas sin validarlas ni codificarlas correctamente. Si quieres leer una explicación técnica y práctica sobre XSS, la documentación de Mozilla es un buen punto de partida: MDN Web Docs sobre XSS, y para una visión general accesible sobre este tipo de ataques, el glosario de Fortinet puede resultar útil: Fortinet - Cross-Site Scripting.
Una de las ironías que subrayan los investigadores es que, siendo el robo de cookies el negocio central de StealC, cabría esperar que sus operadores aplicaran protecciones básicas para las cookies de sesión —por ejemplo la bandera HttpOnly para dificultar el robo por XSS—. La ausencia de medidas tan elementales facilitó que los especialistas pudieran extraer cookies desde el propio panel comprometido; para comprender qué aporta la bandera HttpOnly puedes consultar esta guía práctica: BrowserStack sobre HttpOnly.
El trabajo de análisis permitió además perfilar a un cliente del servicio StealC identificado por los investigadores como “YouTubeTA” (por YouTube Threat Actor). Este actor habría usado de forma intensiva la plataforma de vídeo para difundir instaladores fraudulentos que prometían cracks de aplicaciones como Adobe Photoshop y After Effects. Según los datos recabados, sus campañas dieron lugar a miles de registros que, en conjunto, contenían cientos de miles de credenciales y decenas de millones de cookies. Aunque la mayoría de esas cookies parecen corresponder a mecanismos de seguimiento u otras cookies de baja sensibilidad, la cantidad y variedad de datos robados facilitó casos de toma de control de cuentas reales de YouTube, las cuales a su vez se usaron para amplificar la distribución del propio malware en un círculo vicioso.
Los investigadores también documentaron señales de uso de señuelos de tipo CAPTCHA falso y otros métodos de engaño similares a ClickFix para atraer víctimas, lo que indica que la difusión de StealC no se limita únicamente a enlaces en descripciones de vídeo. En el panel se observó la capacidad de crear múltiples usuarios con distintos roles, y en el caso concreto de YouTubeTA solo aparecía un administrador. El análisis del entorno técnico asociado a ese administrador apuntó a una máquina con procesador Apple M3 y configuraciones de idiomas en inglés y ruso.
En un descuido de operación de seguridad, el actor no conectó su sesión al panel a través de una VPN durante un periodo en julio de 2025, lo que dejó al descubierto una dirección IP real ligada a un proveedor ucraniano conocido como TRK Cable TV. Esa fuga permitió a los analistas situar geográficamente al operador: probabilísticamente se trata de un actor solitario que opera desde una región de Europa del Este con uso frecuente del ruso.
Más allá de los detalles particulares de este caso, los hallazgos ofrecen una lección estratégica sobre el ecosistema MaaS: por un lado, facilita que actores con pocos recursos lancen operaciones a gran escala con rapidez; por otro, si los desarrolladores de ese malware descuidan buenas prácticas de seguridad en sus propias herramientas, terminan exponiéndose a los mismos riesgos que causan a otras víctimas. Como resumen sobre este punto, los autores del informe señalan que las debilidades en la protección de cookies y en la calidad del código del panel permitieron reunir una cantidad significativa de información sobre los clientes de StealC, una vía que investigadores y autoridades podrían aprovechar para identificar a otros operadores maliciosos.
Para usuarios y empresas, la moraleja es doble: primero, sospechar de descargas que prometen software “crackeado” y priorizar fuentes oficiales; segundo, proteger cuentas con medidas como la autenticación multifactor y revisar de forma periódica sesiones activas y dispositivos autorizados. Para los profesionales de ciberseguridad y las fuerzas de orden, el caso demuestra que analizar infraestructuras maliciosas filtradas puede revelar tanto datos operativos como errores humanos que ayudan a trazar el mapa de una amenaza.
Si quieres profundizar en el informe técnico que originó estas conclusiones, puedes leer el análisis publicado por CyberArk: CyberArk - Uno Reverse Card, y para más contexto sobre la autopsia de la versión 2 del panel, el despiece de Lumma Labs resulta esclarecedor: Lumma Labs - Autopsy of a failed stealer. El código y muestras filtradas también están accesibles en repositorios de análisis de malware como Abuse.ch, que pueden ser útiles para investigadores.
En definitiva, el incidente con StealC ilustra cómo la misma infraestructura diseñada para saquear datos puede convertirse en una fuente de información para las defensas cuando sus responsables cometen errores de seguridad. Y recuerda: detrás de muchos ataques a gran escala suelen existir fallos humanos y de diseño que, correctamente explotados por la comunidad de seguridad, pueden ayudar a mitigar futuras campañas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...