Investigadores de ciberseguridad han desentrañado una campaña de cryptojacking que combina viejas artimañas de ingeniería social con técnicas avanzadas de explotación y persistencia. En el centro del ataque hay binarios ofrecidos dentro de paquetes de software pirata: instaladores supuestamente “gratuitos” de suites de oficina y otras herramientas premium que, en realidad, esconden un cargador malicioso que termina desplegando un minero de Monero personalizado basado en XMRig.
La campaña no se limita a ejecutar un proceso de minería: es modular, resiliente y, en ciertos aspectos, se comporta como un gusano. Según el análisis publicado por Trellix, el ejecutable recuperado actúa como un controlador central que puede instalar componentes, vigilar que el minero siga funcionando, reiniciarlo si es necesario y, en determinados casos, eliminar pruebas si se le ordena. Esa separación de funciones mediante modos de operación facilita que el actor incremente la eficiencia del minado y mantenga el control sobre sistemas comprometidos.
El método de entrada está anclado en la confianza: usuarios que buscan software de pago sin coste acaban descargando un “dropper” que descomprime y escribe múltiples artefactos en disco. Entre ellos suele figurar una copia legítima de un ejecutable del sistema que se aprovecha para sideloading del DLL del minero, y binarios que desactivan herramientas de seguridad o instalan mecanismos de persistencia. Para escalar privilegios y maximizar la capacidad de minado, el operador incorpora también un driver vulnerable —WinRing0x64.sys— que explota una falla conocida (CVE-2020-14979) y permite manipular configuraciones de bajo nivel de la CPU; el efecto reportado es un incremento apreciable del hashrate RandomX.
Además del aprovechamiento del driver vulnerable, la campaña muestra comportamientos de propagación fuera de lo habitual para un cryptominer típico. El malware intenta replicarse a través de medios extraíbles y puede moverse lateralmente incluso en entornos aislados (air-gapped), lo que lo acerca a la categoría de gusano: no depende únicamente de que el usuario descargue el dropper, sino que busca activamente nuevos vectores de infección.
La pieza maliciosa incorpora también una “bomba lógica” temporal: consulta la hora local del sistema y, si la fecha supera un umbral predefinido —en este caso, el 23 de diciembre de 2025—, se activa una rutina de desmantelamiento controlado. Ese comportamiento sugiere que los operadores tenían intención de mantener la campaña en marcha durante meses o años y planeaban algún tipo de transición o cierre coordinado, quizás por caducidad de infraestructura de comando y control, cambios en el mercado de criptomonedas o una migración a una nueva variante.
Por si fuera poco, la investigación de otras firmas revela cómo la combinación de herramientas automatizadas y asistentes de lenguaje podría facilitar estos ataques. Darktrace identificó un artefacto que muy probablemente fue generado con la ayuda de un modelo de lenguaje grande (LLM) para explotar la vulnerabilidad conocida como React2Shell (CVE-2025-55182) y descargar un kit en Python que, a su vez, servía para lanzar un minero XMRig. Darktrace explica cómo una sola sesión de prompting permitió a un atacante producir un marco operativo capaz de comprometer decenas de hosts.
Paralelamente, existen herramientas de escaneo y explotación —como la catalogada por WhoisXML API bajo el nombre ILOVEPOOP— que levantan información sobre sistemas expuestos a React2Shell y buscan preparar terreno para campañas masivas. El análisis de WhoisXML sugiere, además, una división del trabajo: equipos expertos habrían desarrollado el toolkit y operadores menos sofisticados lo habrían desplegado en barridos a gran escala, cometiendo errores operativos detectables por sistemas de honeypot. Puede leerse el informe en WhoisXML API.
Que se empleen modelos de lenguaje o toolkits avanzados no convierte el ataque en novedoso desde su objetivo final —obtener poder de cómputo para minar—, pero sí reduce la barrera técnica para actores con menos habilidades y acelera la cadena de desarrollo y despliegue. El resultado es una amenaza más accesible y con mayor capacidad de escalado.
Para usuarios y equipos de TI esto implica dos aprendizajes inmediatos. Primero, evitar a toda costa el software pirateado: más allá de cuestiones legales, los instaladores no oficiales son uno de los vectores más sencillos para introducir malware. Segundo, cerrar vectores técnicos explotables: mantener sistemas y drivers actualizados, bloquear la ejecución automática desde medios extraíbles, monitorizar picos de uso de CPU y disponer de soluciones EDR que identifiquen comportamientos de minado y técnicas de sideloading.
Si quieres profundizar, el análisis técnico de Trellix ofrece un desglose detallado del flujo de infección y las capacidades del binario, y es una lectura recomendable para equipos de respuesta: informe de Trellix. Para comprender el contexto de la explotación automatizada con IA, el reporte de Darktrace aporta ejemplos prácticos y alertas sobre el uso de LLM por actores maliciosos. Y si buscas contexto sobre la pieza explotada para escalar privilegios, la ficha de la vulnerabilidad en el NVD aclara el problema técnico detrás del driver vulnerable: CVE-2020-14979.
Por último, y aunque la suma monetaria que produce cada operación de cryptomining pueda ser modesta, la agregación de cientos o miles de equipos comprometidos compone una botnet muy rentable para los atacantes. La lección es clara: las defensas básicas —parcheo, controles sobre medios removibles, políticas de descarga y observabilidad— siguen siendo las más eficaces para cortar este tipo de campañas antes de que generen daño mayor.
Si gestionas sistemas críticos, valdrá la pena corroborar que no haya indicios de procesos XMRig en ejecución (el proyecto oficial está en GitHub), revisar logs de arranque y servicios, y auditar el uso de drivers de terceros. En ciberseguridad, la prevención y la detección temprana siguen siendo la mejor inversión frente a amenazas que combinan lo viejo —ingenuidad humana y software pirata— con lo nuevo —explotación automatizada y uso de IA—.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...