Los investigadores de seguridad han destapado una campaña preocupante en la que un conjunto de programas catalogados en principio como software potencialmente no deseado (PUP) no solo mostraba anuncios: escondía una cadena de actualización capaz de introducir cargas útiles que se ejecutan con privilegios de SYSTEM y dejan los equipos sin protección antivirus. Según los equipos que analizaron el caso, en un solo día más de 23.500 equipos en 124 países intentaron contactar con la infraestructura del operador, y entre ellos había cientos ubicados en redes de alto valor como universidades, proveedores de servicios públicos, administraciones y centros sanitarios.
Lo que comenzó como adware terminó por comportarse como un desactivador de defensas. Las muestras analizadas estaban firmadas digitalmente por una entidad que operaba bajo el nombre Dragon Boss Solutions LLC y promocionaba supuestos "navegadores" (nombres como Chromstera, Chromnius, WorldWideWeb, Web Genius o Artificius Browser) que, en la práctica, fueron detectados por varias soluciones de seguridad como PUPs. Los análisis revelaron que esos instaladores incorporaban un mecanismo de actualización comercial —desarrollado con la herramienta Advanced Installer— que podía descargar e instalar MSI y scripts PowerShell de forma totalmente silenciosa y con elevación de permisos. Más información sobre Advanced Installer en su documentación oficial: https://www.advancedinstaller.com/user-guide/tutorial-update.html.
El instalador remoto descargado por ese mecanismo estaba camuflado (por ejemplo, un fichero Setup.msi presentado como si fuera una imagen) y, aunque en plataformas de análisis comunitario como VirusTotal solo aparece señalado por unos pocos detectores, su contenido incluía componentes legítimos usados por Advanced Installer y además un archivo de configuración con acciones personalizadas. Antes de desplegar su carga principal el MSI realizaba un reconocimiento del equipo: comprobaba si el proceso se ejecutaba con privilegios administrativos, si el entorno era una máquina virtual, si tenía acceso a Internet y qué soluciones antivirus estaban presentes en el registro (los investigadores vieron comprobaciones dirigidas a productos de fabricantes como Malwarebytes, Kaspersky, McAfee y ESET).
La rutina de desactivación se materializaba en un script PowerShell bautizado por los analistas como ClockRemoval.ps1, que se alojaba en múltiples ubicaciones y se configuraba para ejecutarse al inicio del sistema, al inicio de sesión y periódicamente cada media hora. Ese script no se limitaba a detener procesos o servicios: intentaba desinstalar silenciosamente productos de seguridad, borraba carpetas y entradas de registro asociadas, forzaba eliminaciones cuando los desinstaladores fallaban y bloqueaba la reinstalación o actualización de los proveedores modificando el archivo hosts o anulando sus dominios (redirigiéndolos a 0.0.0.0). Además, el atacante parecía evitar interferencias con instaladores de navegadores legítimos —como Chrome, Edge, Firefox u Opera— para asegurar la persistencia de sus modificaciones y redirecciones.
Un detalle crítico en este incidente es que los dominios principales usados por la funcionalidad de actualización no estaban registrados por el operador; eso dejó a miles de equipos buscando instrucciones en nombres de dominio que quedaban libres. Los investigadores aprovecharon esta situación para registrar el dominio principal, lo que les permitió observar decenas de miles de conexiones salientes desde máquinas comprometidas y, de paso, evitar que un tercero pudiera apropiarse del dominio y enviar órdenes o payloads arbitrarios a hostiles ya desprotegidos. Este tipo de toma de control del dominio de actualización es una intervención defensiva delicada que ya se ha utilizado en investigaciones previas para prevenir una escalada mayor.
El alcance detectado por los analistas incluyó cientos de equipos en redes estratégicas: un volumen importante en instituciones académicas de varias regiones, sistemas de control industrial y de transporte, administraciones públicas y algunos entornos sanitarios. Aunque en el momento del hallazgo la carga principal se centraba en desactivar soluciones de seguridad y generar ingresos por publicidad, los investigadores advierten que la infraestructura y el mecanismo de entrega podrían poner en riesgo cualquier red: si un actor malintencionado tomara el control del dominio de actualización, podría distribuir software mucho más dañino a miles de máquinas que ya no cuentan con protección activa.
Para equipos de IT y respuesta a incidentes, los análisis publicados ofrecen indicadores prácticos que conviene revisar de inmediato: buscar procesos firmados por Dragon Boss Solutions LLC, inspeccionar suscripciones de eventos WMI que contengan cadenas como “MbRemoval” o “MbSetup”, y comprobar tareas programadas que referencien nombres como “WMILoad” o “ClockRemoval”. También es recomendable auditar el archivo hosts en busca de entradas que bloqueen dominios de proveedores de seguridad y revisar las exclusiones de Microsoft Defender para rutas inusuales (por ejemplo, entradas que empiecen por “DGoogle”, “EMicrosoft” o “DDapps”). Para entender mejor cómo gestionar exclusiones en Defender puede consultarse la documentación oficial de Microsoft: https://learn.microsoft.com.
Si bien la descripción técnica puede sonar compleja, la idea central es sencilla: un componente que inicialmente parece inofensivo puede convertirse en una puerta trasera poderosa si incorpora un mecanismo de actualización con permisos elevados y acceso remoto. Por eso, más allá de la detección y remoción puntuales, las organizaciones deben fortalecer su higiene digital: controlar qué firmas y proveedores tienen permiso para instalar software, limitar la elevación de privilegios mediante políticas, vigilar sus canales de actualización y mantener procedimientos de respuesta que permitan recuperar máquinas que hayan perdido sus defensas.
Los reportes públicos sobre este incidente incluyen el trabajo de la compañía que lo detectó y la cobertura en medios especializados. Para seguir las notas originales y los análisis técnicos puede consultarse la página principal de Huntress, que fue la firma que investigó el caso, así como medios que recopilaron la información y contextos adicionales: https://www.huntress.com/ y la cabecera de investigación técnica BleepingComputer. El fichero MSI usado en la prueba aparece en VirusTotal y se puede examinar desde la plataforma de análisis: VirusTotal: hash del MSI. Para información general sobre las consecuencias de modificaciones al archivo hosts y por qué los atacantes lo usan para bloquear actualizaciones, la documentación técnica de Microsoft es un recurso de referencia: editar el archivo hosts en Windows.
En definitiva, este caso recuerda que los actores maliciosos no siempre necesitan desplegar troyanos complejos desde el principio: a veces basta con una pieza de software firmada que abuse de un mecanismo legítimo de actualización para apagar las luces de una red y preparar el terreno para amenazas mayores. Mantener políticas de control de software, vigilar patrones inusuales de actualización y responder con prontitud ante signos de desactivación de AV son medidas que hoy pueden evitar una crisis mañana.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...