Alerta por campaña de criptominería que explota vulnerabilidades críticas
Publicado el
Nueva campaña de criptominería detectada
Investigadores en ciberseguridad han revelado los detalles de una sofisticada campaña de criptominería que utiliza software pirata como señuelo para desplegar un programa personalizado de XMRig en equipos comprometidos. La investigación, llevada a cabo por Trellix, destaca que el malware presenta capacidades similares a un gusano, permitiendo su propagación a través de dispositivos de almacenamiento externos y facilitando el movimiento lateral en sistemas aislados.
Mecanismos de infección
El ataque comienza con técnicas de ingeniería social, donde se publicitan paquetes de software pirata que engañan a los usuarios para que descarguen ejecutables infectados. El binario infectado actúa como el núcleo de la infección, cumpliendo múltiples funciones: instalador, supervisor, gestor de cargas útiles y limpiador. Este diseño modular permite separar las características de monitoreo de las cargas útiles principales, que son responsables de la minería de criptomonedas, la escalada de privilegios y la persistencia.
Comportamiento del malware
El malware incluye una bomba lógica que verifica la hora del sistema local y la compara con una marca de tiempo predefinida. Si la fecha es anterior al 23 de diciembre de 2025, el malware procede a instalar módulos de persistencia y a lanzar el minero. Si es posterior, ejecuta una secuencia de autodestrucción que desactiva la infección. Este diseño sugiere que la campaña está diseñada para operar indefinidamente, posiblemente vinculada a la infraestructura de comando y control (C2) o anticipando cambios en el mercado de criptomonedas.
Técnica BYOVD y escalada de privilegios
El malware utiliza un controlador vulnerable, WinRing0x64.sys, como parte de una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD). Esta vulnerabilidad, identificada como CVE-2020-14979, permite la escalada de privilegios, mejorando el rendimiento de minería de la CPU entre un 15% y un 50%. Esta combinación de técnicas transforma al malware de un simple troyano a un gusano altamente eficaz.
Impacto y conclusiones
A pesar de que la actividad de minería fue esporádica en noviembre de 2025, se observó un aumento significativo en diciembre, lo que subraya la efectividad de esta campaña. Trellix advierte que este tipo de malware sigue evolucionando, utilizando una combinación de ingeniería social, software legítimo disfrazado, propagación tipo gusano y explotación a nivel de núcleo.
Uso de inteligencia artificial en cibercrimen
Recientemente, Darktrace identificó un artefacto de malware que explota la vulnerabilidad CVE-2025-55182, generando un marco de explotación mediante un modelo de lenguaje grande (LLM). Aunque los beneficios inmediatos son limitados, esta tendencia demuestra que la inteligencia artificial está facilitando el acceso al cibercrimen, posibilitando a los atacantes comprometer más de noventa hosts con un solo comando.
Esta campaña es un recordatorio claro de que el malware comercial continúa innovando, creando redes botnet resilientes y eficientes que representan un riesgo creciente para los sistemas y usuarios.