Malware GIFTEDCROOK
El malware conocido como GIFTEDCROOK ha experimentado una transformación significativa. Originalmente diseñado como un simple ladrón de datos de navegador, se ha convertido en una sofisticada herramienta de espionaje con un enfoque estratégico. Campañas recientes observadas en junio de 2025 revelan una mejora alarmante: el malware ahora ataca documentos confidenciales y archivos propietarios de dispositivos comprometidos, en particular los pertenecientes al gobierno y personal militar de Ucrania.
Tabla de contenido
Un ataque selectivo contra las instituciones ucranianas
GIFTEDCROOK se descubrió por primera vez en abril de 2025, cuando investigadores lo vincularon con campañas de phishing dirigidas a entidades militares, fuerzas del orden y organismos gubernamentales locales en Ucrania. Estas campañas se atribuyen al grupo de actores de amenazas UAC-0226, que utiliza documentos de Microsoft Excel con macros para distribuir la carga útil del malware mediante correos electrónicos de phishing.
Los mensajes de phishing suelen simular comunicaciones oficiales, utilizando PDF de temática militar como señuelo para engañar a los destinatarios y que hagan clic en un enlace de almacenamiento en la nube de Mega. Este enlace aloja un archivo de Excel con macros habilitado, titulado "Список оповіщених військовозобов'язаних організації 609528.xlsm". Una vez habilitadas las macros, GIFTEDCROOK se descarga silenciosamente en el sistema objetivo.
Lo que GIFTEDCROOK roba: expandiendo su alcance
En esencia, GIFTEDCROOK sigue siendo un ladrón de información. Inicialmente centrado en extraer datos del navegador, este malware está diseñado para recopilar cookies, historial de navegación y credenciales de autenticación de los principales navegadores, como Google Chrome, Microsoft Edge y Mozilla Firefox.
Sin embargo, con el tiempo, las capacidades de GIFTEDCROOK se han ampliado significativamente. Inicialmente como una versión de demostración en febrero de 2025, las versiones 1.2 y 1.3 introdujeron potentes funciones de exfiltración de datos, en particular la capacidad de acceder a archivos de menos de 7 MB y modificados en los últimos 45 días.
Nuevos objetivos: archivos confidenciales y documentos internos
El malware mejorado busca específicamente archivos con las siguientes extensiones:
Documentos y presentaciones: .doc, .docx, .rtf, .ppt, .pptx, .pdf, .odt
Hojas de cálculo y archivos de datos: .csv, .xls, .xlsx, .ods
Archivos y textos: .rar, .zip, .eml, .txt
Imágenes y configuraciones: .jpeg, .jpg, .png, .sqlite, .ovpn
Este cambio de enfoque, desde las credenciales del navegador a los documentos recientes y relevantes, subraya el papel de GIFTEDCROOK en la recopilación de inteligencia específica.
Métodos de exfiltración: cómo mantenerse bajo el radar
Una vez que el malware recopila los archivos deseados, comprime los datos robados en un archivo ZIP. Si el archivo supera los 20 MB, se divide en fragmentos más pequeños. Estos fragmentos se exfiltran a través de un canal de Telegram controlado por los atacantes, un método que ayuda a evadir la detección y a eludir las herramientas tradicionales de seguridad de red.
Para cubrir sus huellas, se ejecuta un script por lotes en la etapa final, eliminando evidencia del malware del host infectado.
Espionaje estratégico, no sólo robo
GIFTEDCROOK no es solo un ladrón de credenciales, sino una herramienta de ciberespionaje. Su capacidad para recopilar documentos recientes y confidenciales, como hojas de cálculo, archivos PDF y configuraciones de VPN, indica un intento deliberado de extraer información de inteligencia de empleados del sector público y sistemas internos. Los riesgos son considerables: cualquier ataque individual puede poner en peligro redes institucionales enteras.
Tiempo geopolítico y desarrollo coordinado
El despliegue del malware coincide con puntos álgidos geopolíticos, en particular las negociaciones de Estambul entre Ucrania y Rusia. Esta correlación sugiere que las mejoras de GIFTEDCROOK no fueron casuales, sino parte de una estrategia de desarrollo coordinada destinada a ampliar las capacidades de vigilancia en consonancia con los acontecimientos políticos.
Conclusión: Una amenaza creciente que refleja las tensiones globales
La evolución de GIFTEDCROOK, de un modesto ladrón de datos de navegadores a una plataforma de espionaje integral, refleja la creciente complejidad de las ciberamenazas que enfrentan las instituciones nacionales. La progresión de versiones del malware, sumada a tácticas de phishing bien diseñadas y la recopilación inteligente de datos, refleja la clara intención del adversario de utilizar las intrusiones digitales como arma para obtener ganancias estratégicas. Cualquier persona que maneje información confidencial debe mantenerse alerta; ya no se trata solo de contraseñas robadas, sino de una guerra de información en formato digital.
