¿Cuándo comenzó esta campaña de malware?

La campaña de malware ha estado activa desde junio de 2025. Ya ha comprometido más de 90 hosts desde que comenzó.

¿Qué tipo de archivo se utiliza para distribuir el malware?

El malware se distribuye a través de archivos instaladores MSI, que es el formato de paquete estándar de Windows utilizado por muchos proveedores de software legítimos.

¿Qué hace el malware una vez que infecta un sistema?

El malware despliega un kit de tres módulos que realiza reconocimiento del sistema, activa un keylogger para capturar credenciales y códigos de autenticación de dos factores, y roba contraseñas almacenadas en el navegador, cookies de sesión y datos de autocompletar.

¿Por qué se considera un riesgo de seguridad incrustar de forma fija credenciales SSH y tokens de GitLab dentro del instalador?

Las credenciales incrustadas de forma fija en los archivos instaladores son legibles por cualquiera que inspeccione el binario, lo que puede exponer los servidores de comando y control y los repositorios de código de los atacantes ante defensores e investigadores.

¿Es suficiente usar una billetera de hardware para protegerse contra este tipo de ataque?

Según el artículo, depender únicamente de una billetera de hardware no es suficiente protección contra esta campaña, porque el malware apunta a credenciales, cookies de sesión y pulsaciones de teclado que pueden eludir la autenticación sin necesidad de acceder directamente a la billetera.

El malware de instalador MSI apunta a traders de criptomonedas desde junio de 2025

Una sofisticada campaña de malware descubierta que apunta a traders de criptomonedas ha estado activa silenciosamente desde junio de 2025, utilizando un truco engañosamente simple pero efectivo: incrustar de forma fija credenciales SSH y tokens de GitLab directamente dentro de archivos instaladores MSI. La operación ya ha comprometido más de 90 hosts y está diseñada específicamente para apoderarse de cuentas de trading de criptomonedas combinando reconocimiento del sistema, keylogging y robo de datos del navegador en una única cadena de ataque coordinada. Para cualquier persona que posea o opere activamente con activos digitales, la mecánica de esta campaña revela por qué depender únicamente de una billetera de hardware no es suficiente protección.

Cómo funciona la campaña de instaladores MSI: reconocimiento, keylogging y robo en el navegador

El ataque comienza cuando un objetivo ejecuta lo que parece ser un instalador MSI legítimo, el formato de paquete estándar de Windows utilizado por innumerables proveedores de software. Una vez ejecutado, el instalador despliega un kit de malware de tres módulos que opera en secuencia.

El primer módulo realiza un reconocimiento del sistema, mapeando la configuración del host infectado, el entorno de red y el software instalado. Esta etapa le ofrece al atacante una imagen clara de con qué está trabajando antes de comprometerse con una intrusión más profunda. El segundo módulo activa un keylogger, capturando todo lo que escribe la víctima, incluidas las credenciales de inicio de sesión en exchanges, los códigos de autenticación de dos factores y las frases de acceso a billeteras. El tercer módulo apunta a los datos almacenados en el navegador, extrayendo contraseñas guardadas, cookies de sesión y entradas de autocompletar que pueden usarse para eludir la autenticación en plataformas financieras sin necesidad de conocer directamente la contraseña de la cuenta.

La combinación es deliberada. El keylogging captura las credenciales en movimiento; el robo del navegador las captura en reposo. Juntos, dejan muy pocas brechas.

Por qué las credenciales incrustadas representan un riesgo sistémico

Lo que hace que esta campaña sea particularmente notable desde una perspectiva de investigación de seguridad no es solo lo que le hace a las víctimas, sino lo que revela sobre los propios atacantes. Incrustar de forma fija credenciales SSH y tokens de GitLab dentro del instalador significa que el malware lleva un enlace directo y estático de regreso a su propia infraestructura de backend.

Se trata de un fallo de seguridad operacional por parte del atacante, y no es exclusivo de este grupo. Cuando los desarrolladores, ya sea que construyan software legítimo o herramientas maliciosas, incrustan tokens de autenticación de forma fija en archivos compilados o empaquetados, esas credenciales quedan legibles para cualquiera que inspeccione el binario. Para los defensores, las credenciales incrustadas en el malware pueden exponer servidores de comando y control, repositorios de código e incluso el flujo de trabajo de desarrollo interno de un actor de amenazas. Para las víctimas, el mismo fallo que podría ayudar a los investigadores a rastrear a los atacantes no ofrece ninguna protección una vez que el compromiso ya ha ocurrido.

Este patrón refleja tendencias más amplias en el malware dirigido a la nube. Como se señala en el reporte sobre el malware PCPJack que explota credenciales en la nube, los marcos de robo de credenciales tratan cada vez más los tokens mal protegidos como objetivos fáciles, ya sea que esos tokens pertenezcan a las víctimas o, en este caso, a los propios atacantes.

Quiénes son los objetivos y cómo se selecciona a los traders de criptomonedas

El enfoque de la campaña en los traders de criptomonedas no es accidental. Las cuentas de criptomonedas presentan un perfil de objetivo particularmente atractivo: a menudo contienen un valor líquido significativo, las transacciones son irreversibles una vez transmitidas a la blockchain, y muchos traders utilizan interfaces basadas en navegador para gestionar posiciones en múltiples exchanges simultáneamente.

Este último punto es crítico. El trading basado en navegador implica que las sesiones, cookies y credenciales guardadas en el navegador constituyen una vía directa de acceso a la cuenta. Un atacante que capture una cookie de sesión válida desde un navegador puede con frecuencia autenticarse en un exchange sin activar las solicitudes de contraseña o de doble factor, porque la sesión en sí misma ya está autenticada. El componente keylogger cubre entonces cualquier escenario en el que el trader cierre sesión y vuelva a iniciarla, capturando credenciales nuevas en tiempo real.

Con más de 90 hosts ya confirmados como comprometidos, la escala de la campaña sugiere una operación dirigida pero persistente, en lugar de un enfoque masivo e indiscriminado. Los traders que descargaron software de fuentes no oficiales o no verificadas desde junio de 2025 son los que corren mayor riesgo.

Cómo las VPN, los gestores de credenciales y la higiene del navegador reducen tu superficie de ataque

Ninguna herramienta por sí sola elimina el riesgo que representa esta campaña, pero varias prácticas reducen significativamente la exposición.

Una VPN no impide que el malware se ejecute una vez que ya está en un equipo, pero sí reduce el riesgo de interceptación de tráfico y puede limitar la visibilidad a nivel de red que un atacante obtiene durante la fase de reconocimiento. Más importante aún, usar una VPN de forma constante en todos los dispositivos ayuda a establecer la higiene de red como un hábito en lugar de una ocurrencia tardía.

Los gestores de credenciales abordan uno de los vectores de ataque principales en este caso: las contraseñas almacenadas en el navegador. Cuando las credenciales se guardan en un gestor dedicado y cifrado en lugar del almacén de contraseñas nativo del navegador, el robo de datos del navegador obtiene mucha menos información utilizable. La mayoría de los gestores de credenciales también permiten generar contraseñas únicas y complejas para cada cuenta, lo que limita el alcance del daño si se captura un conjunto de credenciales.

La higiene del navegador también importa. Los traders deberían considerar usar un perfil de navegador dedicado, o un navegador completamente separado, exclusivamente para acceder a los exchanges. Ese perfil no debería tener contraseñas guardadas, ninguna extensión más allá de lo estrictamente necesario, y debería limpiarse de cookies después de cada sesión. Las cookies de sesión no pueden ser robadas de una sesión que ya no existe.

Por último, la disciplina en la instalación de software es la primera línea de defensa. Los archivos MSI obtenidos fuera de los sitios oficiales del proveedor o de tiendas de aplicaciones conllevan un riesgo real. Verificar los hashes de los archivos, comprobar las firmas del editor y tratar cualquier instalador que requiera desactivar el software de seguridad como una señal de alerta inmediata puede evitar la ejecución inicial que hace posible todo lo demás.

Qué significa esto para ti

Si operas activamente con criptomonedas o posees activos digitales accesibles a través de una interfaz basada en navegador, esta campaña es una advertencia directa. Las billeteras de hardware protegen los fondos en la cadena, pero no protegen las cuentas de exchange, y ahí es precisamente donde este malware está diseñado para causar daño.

Comienza auditando dónde viven actualmente tus credenciales. Si tus contraseñas de exchange están guardadas en un navegador, muévelas a un gestor de credenciales dedicado y genera contraseñas nuevas y únicas para cada plataforma. Revisa tus extensiones de navegador y elimina todo lo que no uses activamente. Comprueba tu historial de descargas para detectar cualquier instalador MSI obtenido desde junio de 2025 de fuentes que no puedas verificar.

La creciente sofisticación de las operaciones de robo de credenciales, desde las campañas con tokens incrustados descritas aquí hasta la explotación de múltiples CVE documentada en marcos dirigidos a la nube, hace que la higiene proactiva de credenciales sea una de las defensas más efectivas disponibles para los usuarios individuales. Dedicar una hora a auditar tu configuración hoy es considerablemente menos doloroso que recuperarse de un robo de cuenta mañana.