La reaparición de un grupo de ciberdelincuencia brasileño conocido como LofyGang obliga a tomar en serio un riesgo que combina ingeniería social dirigida a jugadores jóvenes y técnicas de distribución cada vez más industriales: la campaña detectada por ZenoX utiliza un nuevo infostealer llamado LofyStealer (también identificado como GrabBot) y lo camufla como un supuesto cheat para Minecraft llamado "Slinky", aprovechando el icono oficial del juego para inducir la ejecución voluntaria de un archivo malicioso.
Lo notable no es sólo el malware en sí, sino el cambio en la economía y la logística del ataque. Tras años centrados en la cadena de suministro de JavaScript —typosquatting en npm, starjacking en GitHub y sub-dependencias con payloads ocultos— el actor ha evolucionado hacia un modelo similar a malware-as-a-service, con tiers gratuitos y de pago y un builder ("Slinky Cracked") que facilita la entrega del stealer. La ejecución comienza con un loader en JavaScript que despliega un ejecutable referido como "chromelevator.exe" y ejecuta el código en memoria para recopilar cookies, credenciales, tokens, tarjetas y hasta IBANs, que luego son exfiltrados a un servidor de comando y control (C2) identificado en 24.152.36[.]241.
Esta táctica explota dos vectores sociotécnicos: la confianza en la marca (Minecraft) y la predisposición de audiencias jóvenes a descargar hacks o cheats. Cuando el gancho combina apariencia legítima y un instalador aparentemente inocuo, muchas soluciones tradicionales de seguridad pueden fallar, sobre todo si el stager carga código en memoria o usa servicios legítimos como intermediarios para exfiltrar datos. Además, la profesionalización de las operaciones —con builders, marketplaces y soporte— reduce la barrera de entrada para otros delincuentes que buscan monetizar credenciales de juegos, cuentas de streaming y tarjetas.
Para jugadores y padres, la primera lección es práctica y urgente: no descargar ni ejecutar hacks, cracks o herramientas que prometan ventajas en juegos desde fuentes no verificadas. Si una oferta parece demasiado buena o requiere desactivar protecciones del sistema para instalarse, es señal clara de riesgo. Conviene que las cuentas de Minecraft, Discord y plataformas asociadas tengan autenticación multifactor activada, que se revisen sesiones activas y dispositivos desde los paneles de seguridad de cada servicio y que se revoquen tokens sospechosos inmediatamente.
En equipos y en redes domésticas se recomienda no utilizar cuentas con privilegios administrativos para jugar; ejecutar el juego en un usuario restringido o incluso en una máquina virtual reduce el impacto de una infección. Ante la sospecha de una infección por un stealer, lo prudente es aislar el equipo de la red, cambiar credenciales desde un dispositivo limpio y supervisar movimientos bancarios, tarjetas y cualquier intento de uso fraudulento de servicios. Herramientas como VirusTotal pueden ofrecer un primer chequeo de archivos sospechosos, aunque los atacantes que ejecutan código en memoria pueden eludir muchos análisis estáticos.
Para desarrolladores, administradores de repositorios y defensores de plataformas la lección es que no hay confianza implícita en un repositorio o en un ejecutable sólo por estar alojado en GitHub u otra plataforma popular. Los atacantes abusan de funciones legítimas —issues, discusiones que generan notificaciones por email, OAuth y cuentas aparentemente legítimas— para ampliar su alcance. Es imprescindible fortalecer los procesos de revisión de dependencias, habilitar monitoreo de typosquatting y automatizar alertas por cambios inusuales en paquetes o en la actividad de cuentas que contribuyen a proyectos populares.
Las organizaciones deben complementar la higiene digital con protecciones técnicas: EDR y soluciones de detección con visibilidad de ejecución en memoria, filtrado de dominios y reputación para bloquear comunicaciones hacia C2 conocidos, políticas de bloqueo para ejecutables renombrados que lancen intérpretes desde archivos opacos y revisiones de OAuth para evitar autorizaciones inadvertidas que concedan tokens permanentes. Además, la firma de código y la verificación de integridad reducen el riesgo de que un binario legítimo sea suplantado o distribuido con payloads adicionales.
En un plano más amplio, el fenómeno ilustra por qué la confianza en las plataformas centralizadas debe combinarse con controles técnicos y alfabetización: los repositorios de código y los foros públicos son herramientas poderosas para la colaboración, pero también se han convertido en vectores de distribución para familias de malware como SmartLoader, StealC, Vidar y ahora LofyStealer. Las empresas que operan estas plataformas, junto con la comunidad de seguridad, deben acelerar detección y remediación de content malicioso, mejorar las señales de confianza y facilitar mecanismos de denuncia efectivos.
Para profundizar sobre las implicaciones de estas campañas y cómo protegerse, es útil consultar análisis periodísticos y guías de seguridad; fuentes generales de referencia incluyen reportes y noticias especializadas como los de The Hacker News y la documentación de buenas prácticas en plataformas de desarrollo como GitHub Code Security. También conviene revisar recursos de seguridad comunitarios y organizaciones como OWASP para entender controles específicos de mitigación.
La reaparición de LofyGang nos recuerda que la amenaza es tanto técnica como humana: combatirla exige actualizar herramientas, endurecer procesos y, sobre todo, educar a las comunidades de jugadores y desarrolladores para que no normalicen la descarga de software de dudosa procedencia. En ciberseguridad, la combinación de prevención técnica y conciencia social sigue siendo la defensa más efectiva.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...