Underc0de - La Casa de los Informáticos

Investigadores en ciberseguridad han destapado una sofisticada campaña de cryptojacking que utiliza paquetes de software pirata como señuelos para desplegar una versión personalizada del minero XMRig en sistemas comprometidos.

El análisis técnico, publicado por la firma de seguridad Trellix, revela una infección en múltiples etapas que combina ingeniería social, persistencia avanzada, explotación a nivel de kernel y capacidades similares a gusanos, con el objetivo de maximizar la tasa de minería de criptomonedas y mantener el control del sistema el mayor tiempo posible.

Según el investigador Aswath A, el malware prioriza el rendimiento máximo de minería, incluso a costa de la estabilidad del sistema víctima, lo que puede provocar degradación severa del rendimiento y fallos operativos.

El vector de entrada: software premium pirata como señuelo

La campaña comienza con una técnica clásica pero eficaz: ingeniería social. Los atacantes promocionan supuestas versiones gratuitas de software premium —como suites de productividad de oficina— distribuidas en sitios de descarga no oficiales.

Cuando la víctima ejecuta el instalador, en realidad activa un cuentagotas malicioso que inicia el proceso de infección. Este binario actúa como el "sistema nervioso central" del ataque y está diseñado con una arquitectura modular capaz de:

• Instalar cargas útiles
• Supervisar el estado del minero
• Reiniciar procesos si son detenidos
• Escalar privilegios
• Eliminar rastros si es necesario

Esta separación entre módulos de control y módulos de minería permite mayor flexibilidad operativa y resiliencia frente a herramientas de seguridad.

Argumentos de línea de comandos y modos operativos

El malware implementa distintos modos de funcionamiento mediante argumentos específicos:

• Sin parámetro: validación del entorno y migración durante la fase inicial.
• "002 Re:0": despliegue de cargas principales y activación del minero.
• "016": reinicio del proceso de minería si se interrumpe.
• "Barusu": secuencia de autodestrucción que elimina todos los componentes.

Este diseño modular permite a los operadores controlar dinámicamente el ciclo de vida del malware.

Bomba lógica con fecha límite: 23 de diciembre de 2025

Uno de los elementos más llamativos es la inclusión de una bomba lógica que compara la fecha del sistema con una marca temporal predefinida.

• Antes del 23 de diciembre de 2025: el malware instala persistencia y ejecuta el minero.
• Después del 23 de diciembre de 2025: activa el modo "Barusu", iniciando un desmantelamiento controlado.

Según Trellix, esta fecha podría estar relacionada con:

• La expiración de infraestructura C2 alquilada
• Cambios previstos en el mercado de criptomonedas
• Transición hacia una nueva variante del malware

Este comportamiento demuestra planificación estratégica a largo plazo.

BYOVD y explotación de CVE-2020-14979

Para obtener privilegios elevados, el malware utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD), cargando un controlador legítimo pero vulnerable: WinRing0x64.sys.

Este driver es explotado mediante la vulnerabilidad CVE-2020-14979, que permite escalada de privilegios con una puntuación CVSS de 7,8.

La integración del exploit en el minero XMRig permite:

• Ajustar configuraciones de bajo nivel de CPU
• Optimizar el algoritmo RandomX
• Incrementar la tasa de hash entre un 15% y un 50%

Este nivel de optimización convierte la campaña en una operación altamente eficiente desde el punto de vista económico.

Propagación tipo gusano mediante dispositivos extraíbles

A diferencia de campañas tradicionales de cryptojacking, esta variante incorpora capacidades de propagación autónoma.

El malware se replica en dispositivos de almacenamiento extraíbles, facilitando movimiento lateral incluso en entornos con air gap (aislados de Internet).

Trellix advierte que esta característica transforma el malware de un simple troyano en un gusano, ampliando significativamente su alcance.

Las pruebas indican que la actividad minera comenzó de forma esporádica en noviembre de 2025, intensificándose el 8 de diciembre del mismo año.

IA y explotación de React2Shell: el nuevo frente del cryptojacking

En paralelo, investigadores de Darktrace identificaron un artefacto de malware posiblemente generado con ayuda de modelos de lenguaje (LLM) que explota la vulnerabilidad CVE-2025-55182, conocida como React2Shell (CVSS 10.0).

Este exploit descarga un kit en Python que ejecuta comandos de shell para desplegar XMRig en sistemas vulnerables.

CitarSegún los investigadores Nathaniel Bill y Nathaniel Jones:

"Una sola sesión de prompting fue suficiente para generar un framework funcional capaz de comprometer más de 90 hosts".

Aunque las ganancias detectadas fueron modestas, el incidente demuestra cómo la IA está reduciendo la barrera de entrada al cibercrimen.

ILOVEPOOP: herramienta avanzada con operadores inexpertos

La API de inteligencia de amenazas WhoisXML API detectó el uso de una herramienta denominada ILOVEPOOP, diseñada para escanear sistemas vulnerables a React2Shell.

Según Alex Ronquillo, vicepresidente de producto:

• El código refleja conocimiento experto del framework React Server.
• Las técnicas empleadas no coinciden con kits documentados previamente.
• Sin embargo, los operadores cometieron errores básicos frente a honeypots.

Esto sugiere un posible modelo de división del trabajo, donde un equipo altamente capacitado desarrolla la herramienta y otro grupo ejecuta campañas masivas sin comprender completamente su funcionamiento.

Este patrón es habitual en operaciones patrocinadas por Estados o en ecosistemas de cibercrimen como servicio.

Impacto en sectores críticos

La actividad asociada a React2Shell e ILOVEPOOP ha afectado principalmente a organizaciones:

• Gubernamentales
• De defensa
• Financieras
• Industriales

Particularmente en Estados Unidos.

El uso combinado de exploits públicos, IA generativa y botnets de minería refuerza la tendencia hacia operaciones más automatizadas y escalables.

El cryptojacking evoluciona con IA y técnicas de kernel

Esta campaña demuestra que el cryptojacking sigue siendo una amenaza relevante y en constante evolución.

La combinación de:

• Ingeniería social con software pirata
• Arquitectura modular avanzada
• Propagación tipo gusano
• Explotación de drivers vulnerables (BYOVD)
• Uso potencial de IA para generar exploits

refleja un ecosistema criminal cada vez más sofisticado y accesible.

Las organizaciones deben reforzar:

• La monitorización de consumo anómalo de CPU
• La detección de drivers vulnerables cargados dinámicamente
• El bloqueo de software no autorizado
• La segmentación de red para evitar movimiento lateral

El cryptojacking ya no es solo una amenaza oportunista. Es una operación estratégica, resiliente y técnicamente avanzada que aprovecha tanto vulnerabilidades del sistema como debilidades humanas.

Fuente: https://thehackernews.com/