Desde finales de 2023, investigadores de Elastic Security Labs han documentado una operación con motivación económica que utiliza instaladores falsos para introducir en equipos tanto troyanos de acceso remoto (RAT) como mineros de criptomonedas. Bajo el nombre en clave REF1695, la campaña destaca por combinar ingeniería social clásica con técnicas dedicadas a esquivar las defensas del sistema y maximizar el rendimiento del minado, además de monetizar las infecciones mediante fraudes CPA que llevan a las víctimas a páginas de “content locker”. Para los interesados en la investigación original y el análisis técnico, puede consultarse la información general de los equipos de seguridad de Elastic en Elastic y los comunicados de su equipo de seguridad.
La cadena de infección que describen los analistas parte de un señuelo muy tradicional: un archivo ISO que el usuario monta creyendo que contiene un instalador legítimo. Dentro del ISO se encuentra un cargador protegido con .NET Reactor y un archivo de texto con instrucciones explícitas para que la víctima eluda las advertencias de Microsoft Defender SmartScreen. Estas indicaciones piden que el usuario haga clic en “Más información” y luego en “Ejecutar de todos modos”, lo que logra que la aplicación no reconocida se ejecute. La documentación oficial de Microsoft sobre SmartScreen explica por qué estas protecciones aparecen y qué riesgos conlleva ignorarlas; conviene revisarla en Microsoft Defender SmartScreen.
El cargador, diseñado para invocar PowerShell, realiza dos acciones críticas: establece exclusiones amplias en Microsoft Defender Antivirus para que las muestras no sean detectadas y arranca en segundo plano un implante .NET recientemente observado y bautizado por los investigadores como CNB Bot. A los usuarios se les muestra una pantalla de error que pretende justificar la falla: un mensaje que sugiere que el sistema “no cumple con las especificaciones” y dirige a contactar soporte, consiguiendo así que la víctima no sospeche de la actividad en segundo plano.
CNB Bot actúa como un cargador modular: puede descargar y ejecutar cargas adicionales, actualizarse a sí mismo y también desinstalarse y eliminar rastros para dificultar el análisis. Su comunicación con el servidor de mando y control (C2) se realiza mediante solicitudes HTTP POST, un método sencillo pero efectivo para intercambiar instrucciones y binarios en campañas a gran escala.
Además de CNB Bot, Elastic documenta variantes del mismo señuelo ISO que han servido para desplegar familias de malware como PureRAT y PureMiner, y un cargador basado en .NET para XMRig que consulta una URL fija para obtener su configuración de minado. Un aspecto especialmente preocupante de estas campañas es el abuso de controladores de kernel legítimos y firmados, en particular variantes como WinRing0x64.sys o Winring0.sys, que permiten acceso a nivel de kernel para ajustar parámetros de CPU y aumentar la tasa de hash del minero. El uso de este tipo de controladores como palanca para mejorar el rendimiento en criptominería maliciosa no es nuevo: XMRig incorporó capacidades relacionadas en diciembre de 2019 y desde entonces diversos actores han recurrido a ellos para exprimir recursos de las máquinas infectadas. Para entender mejor las implicaciones de modificar defensas o abusar de controladores, la taxonomía de técnicas de MITRE ATT&CK ofrece contexto útil en MITRE ATT&CK — Impair Defenses.
Otra pieza observada en las operaciones de REF1695 es SilentCryptoMiner, un minero que adopta medidas adicionales para burlar detecciones y maximizar uptime: recurre a llamadas directas al sistema (syscalls) para esquivar hooks de seguridad, impide que Windows entre en modos de suspensión o hibernación, establece persistencia mediante tareas programadas y utiliza controladores a nivel kernel para optimizar la configuración de la CPU. Para garantizar que la actividad de minado no se interrumpa, los operadores incorporan además un proceso “watchdog” que restaura artefactos y mecanismos de persistencia si son eliminados.
En cuanto a la recompensa económica, el actor parece obtener retornos constantes: Elastic estima que se han movido 27.88 XMR, alrededor de 9.400 dólares al cambio de referencia, repartidos en cuatro carteras que ellos han podido rastrear. Esa cifra refleja que, aunque no necesariamente masiva en comparación con otras operaciones delictivas, la campaña es rentable y sostenible.
Un detalle operativo que vale destacar es el uso de plataformas confiables como substituto de infraestructuras propias. Los investigadores han observado que los responsables alojan binarios escalonados en cuentas de GitHub para servirlos como CDN. Esta estrategia reduce la fricción de detección porque los dominios y servidores de GitHub suelen gozar de buena reputación y pasan filtros menos estrictos que infraestructuras controladas completamente por los atacantes. GitHub ha publicado guías y políticas sobre el uso correcto de sus servicios; en cualquier caso, el abuso de plataformas legítimas es ya una tendencia recurrente en el crimen económico moderno.
¿Qué lectura queda para administradores y usuarios? La combinación de señuelos convincentes, abusos de funciones del sistema y el aprovechamiento de servicios legítimos muestra que la defensa debe ser múltiple y crítica con las acciones del propio usuario. Evitar montar o ejecutar imágenes ISO no verificadas, desconfiar de instrucciones que piden eludir advertencias de seguridad, aplicar políticas restrictivas sobre la ejecución de scripts y sobre la instalación de controladores de kernel, y monitorizar tanto el uso anómalo de CPU como conexiones HTTP salientes hacia servidores desconocidos son medidas que reducen significativamente el riesgo. También es recomendable auditar cuentas de GitHub y otras plataformas donde se puedan alojar binarios, así como aplicar reglas que inspeccionen y bloqueen descargas desde repositorios no aprobados.
La campaña REF1695 es un recordatorio de que los actores motivados por dinero combinan ingeniería social y técnicas técnicas para obtener acceso, persistencia y rendimiento. La mejor defensa sigue siendo una mezcla de concienciación del usuario, mantenimiento de controles de seguridad actualizados y capacidades de detección que sepan identificar tanto el comportamiento anómalo del sistema (picos de CPU, exclusiones en antivirus, tareas programadas sospechosas) como el abuso de servicios legítimos para entregar malware. Para quienes quieran profundizar en herramientas de minado y sus implementaciones, el repositorio oficial de XMRig proporciona contexto técnico sobre el software que a menudo es reutilizado por actores maliciosos: XMRig en GitHub. Si desea conocer en detalle las técnicas de ofuscación y empaquetado en .NET, la solución comercial .NET Reactor utilizada por algunos ataques puede consultarse en Eziriz — .NET Reactor.
En definitiva, REF1695 no introduce una técnica completamente nueva, pero sí remarca la eficacia de combinar trucos de ingeniería social con abusos a bajo nivel del sistema y el uso de infraestructuras “de confianza” para mantener operaciones lucrativas y duraderas. La respuesta pasa por capas de protección técnicas, políticas de control de software y, quizás lo más importante, por usuarios formados para no ejecutar a ciegas lo que aparece como “instalador” en un archivo que no proviene de una fuente verificada.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...