Underc0de - La Casa de los Informáticos

Una nueva operación de malware especializada en robo de información, denominada Arkanix Stealer, irrumpió en foros clandestinos hacia finales de 2025, generando interés tanto por sus capacidades técnicas como por la hipótesis de que su desarrollo fue asistido por modelos de lenguaje de gran tamaño (LLM). Según un análisis técnico publicado por la firma de ciberseguridad Kaspersky, múltiples indicadores sugieren que este proyecto pudo haber sido creado como un experimento de malware asistido por inteligencia artificial, reduciendo drásticamente los tiempos y costes de programación.

Aunque la infraestructura del proyecto —incluido su panel de control y servidor de Discord— fue retirada abruptamente apenas dos meses después de su lanzamiento, Arkanix dejó una huella relevante en el ecosistema del cibercrimen como ejemplo de cómo la IA puede acelerar el desarrollo de amenazas avanzadas.

Arkanix aparece en la dark web: modelo comercial y estrategia de difusión

Arkanix comenzó a promocionarse en foros de hackers en octubre de 2025 bajo un modelo de suscripción escalonado. Ofrecía dos niveles diferenciados:

• Versión básica: Implementación en Python, orientada a usuarios con menor presupuesto.
• Versión premium: Carga útil nativa en C++ protegida con VMProtect, con capacidades avanzadas de evasión antivirus y técnicas de inyección en procesos.

El desarrollador no solo comercializó el malware como un producto, sino que construyó una comunidad alrededor del proyecto mediante un servidor de Discord, utilizado para soporte técnico, anuncios de actualizaciones y recopilación de feedback. Además, implementó un programa de referidos que incentivaba la captación de nuevos clientes con acceso premium gratuito por tiempo limitado.

Este enfoque evidencia un modelo de negocio estructurado, más cercano al concepto de "malware como servicio" (MaaS) que a un simple ladrón de información distribuido de manera oportunista.

Capacidades de robo de datos: un stealer altamente modular

Arkanix Stealer integraba funciones estándar esperadas en este tipo de amenazas, pero con una arquitectura modular que permitía ampliar sus capacidades bajo demanda.

Entre sus principales funciones de robo de información se encontraban:

• Recolección de información del sistema.
• Extracción de historial, cookies, credenciales y datos de autocompletado almacenados en navegadores.
• Robo de datos de monederos de criptomonedas compatibles con 22 navegadores.
• Extracción de tokens OAuth2 en navegadores basados en Chromium.
• Robo de datos de Telegram y credenciales de Discord.
• Propagación a través de la API de Discord enviando mensajes a contactos o canales.
• Compromiso de credenciales asociadas a servicios VPN como Mullvad, NordVPN, ExpressVPN y ProtonVPN.
• Compresión y archivo de archivos locales para exfiltración asíncrona.

Adicionalmente, el malware podía descargar módulos específicos desde su infraestructura de comando y control (C2), entre ellos:

• Capturador de datos de Chrome.
• Parcheador de carteras Exodus y Atomic.
• Herramienta de capturas de pantalla.
• HVNC (Hidden Virtual Network Computing).
• Ladrones específicos para FileZilla y Steam.

Versión premium en C++: evasión avanzada y post-explotación

La variante premium desarrollada en C++ elevaba significativamente el nivel técnico de la amenaza. Entre sus características destacaban:

• Robo de credenciales RDP.
• Mecanismos anti-sandbox y anti-depuración.
• Captura de pantalla mediante WinAPI.
• Objetivos adicionales como Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect y GOG.

Uno de los componentes más sofisticados era ChromElevator, una herramienta de post-explotación diseñada para inyectarse en procesos suspendidos del navegador. Esta técnica permitía eludir la protección de Cifrado Vinculado a Aplicaciones (Application Bound Encryption, ABE) implementada por Google, facilitando el acceso no autorizado a credenciales de usuario.

El uso de inyección en procesos legítimos y evasión de protecciones modernas subraya el enfoque técnico avanzado del proyecto.

¿Malware desarrollado con IA? El experimento Arkanix

El aspecto más llamativo del análisis de Kaspersky es la hipótesis de que Arkanix pudo haber sido desarrollado con asistencia de LLM. Los investigadores detectaron patrones de código, estructura modular y documentación que sugieren generación automatizada o semiautomatizada.

Si esta hipótesis es correcta, Arkanix podría representar un punto de inflexión en la evolución del malware:

• Reducción significativa del tiempo de desarrollo.
• Menor barrera técnica para actores con conocimientos limitados.
• Capacidad de implementar nuevas funciones rápidamente.
• Iteraciones ágiles basadas en feedback comunitario.

Sin embargo, el proyecto tuvo una vida corta. La desaparición repentina del panel y del servidor de Discord sugiere que el objetivo principal pudo haber sido la obtención de ganancias rápidas o la validación técnica de un experimento de desarrollo asistido por IA.

Impacto en la detección y el seguimiento

La corta duración de Arkanix complica su trazabilidad. Las campañas de malware efímeras dificultan la atribución, el análisis de infraestructura y la correlación con otros actores de amenazas.

Además, si efectivamente fue desarrollado con asistencia de IA, esto plantea desafíos adicionales para la industria de la ciberseguridad:

• Mayor volumen de variantes generadas automáticamente.
• Código más limpio y estructurado que dificulta el análisis heurístico.
• Evolución acelerada de técnicas anti-análisis.

Kaspersky clasificó el proyecto como "más un producto de software público que un ladrón turbio", destacando su presentación profesional y orientación comercial.

Indicadores de compromiso (IoCs) y mitigación

Los investigadores publicaron una lista completa de indicadores de compromiso (IoCs), incluyendo hashes de archivos, dominios y direcciones IP asociadas a la infraestructura del malware. Para mitigar riesgos asociados a este tipo de amenazas, se recomienda:

• Implementar soluciones EDR con análisis de comportamiento.
• Supervisar accesos anómalos a credenciales RDP.
• Restringir privilegios administrativos.
• Activar autenticación multifactor en todos los servicios críticos.
• Monitorizar tráfico saliente hacia dominios sospechosos.
• Actualizar navegadores y sistemas operativos regularmente.

El futuro del malware asistido por IA

Arkanix Stealer marca un precedente relevante en la convergencia entre inteligencia artificial y cibercrimen. Aunque su vida operativa fue breve, demuestra cómo la automatización mediante LLM puede acelerar la creación de herramientas sofisticadas de robo de información.

El verdadero riesgo no radica únicamente en Arkanix, sino en la posibilidad de que futuros actores maliciosos adopten metodologías similares para desarrollar amenazas más complejas en menos tiempo. La industria de la ciberseguridad deberá anticiparse a esta evolución, fortaleciendo los mecanismos de detección basados en comportamiento y análisis contextual.

En un escenario donde la IA reduce la barrera de entrada al desarrollo de malware avanzado, la vigilancia continua, la inteligencia de amenazas y la cooperación internacional serán claves para contener el impacto de esta nueva generación de amenazas digitales.

Fuente: https://www.bleepingcomputer.com/