Campaña de criptojacking de XMRig
Investigaciones exhaustivas han descubierto una sofisticada campaña de cryptojacking que utiliza paquetes de software pirateado para infectar sistemas con un minero XMRig personalizado. La operación se basa en gran medida en la ingeniería social, anunciando aplicaciones premium gratuitas, como paquetes de productividad ofimática pirateados, para incitar a los usuarios a descargar instaladores troyanizados.
Estos ejecutables maliciosos sirven como punto de entrada principal. Una vez ejecutados, inician un proceso de infección cuidadosamente orquestado, diseñado para maximizar la producción de minería de criptomonedas, a menudo a costa de la estabilidad del sistema. El uso de tácticas de distribución engañosas por parte de la campaña pone de manifiesto la continua eficacia de la piratería de software como canal de distribución de malware.
Tabla de contenido
Un motor de infección modular con múltiples modos operativos
En el núcleo del ataque se encuentra un binario multifuncional que funciona como centro de comando del ciclo de vida de la infección. Este componente, que actúa como instalador, vigilante, administrador de carga útil y utilidad de limpieza, supervisa la implementación, la persistencia, la monitorización y la posible autoeliminación.
El diseño modular del malware separa las capacidades de monitoreo de las cargas útiles principales responsables de la minería, la escalada de privilegios y la persistencia. La flexibilidad operativa se logra mediante argumentos específicos de la línea de comandos que habilitan distintos modos de ejecución:
Sin parámetro : realiza la validación del entorno y maneja la instalación y migración en las primeras etapas.
002 Re:0 : Elimina las cargas útiles principales, lanza el minero y entra en un bucle de monitoreo.
016 : Reinicia el minero si se termina.
barusu : inicia una secuencia de autodestrucción, terminando los componentes de malware y eliminando los archivos asociados.
Este enfoque estructurado de cambio de modo mejora la resiliencia y garantiza una actividad minera sostenida incluso cuando se toman acciones defensivas.
Bomba lógica integrada y desmantelamiento temporizado
Una característica notable del malware es la inclusión de una bomba lógica. El archivo binario recupera la hora local del sistema y la compara con una fecha límite predefinida del 23 de diciembre de 2025.
- Si se ejecuta antes del 23 de diciembre de 2025, el malware continúa con la instalación persistente y la implementación del minero.
- Si se ejecuta después de esta fecha, se reinicia automáticamente utilizando el parámetro 'barusu', lo que desencadena un proceso de autodesmantelamiento controlado.
El límite predefinido sugiere que la campaña estaba prevista para operar de forma continua hasta esa fecha. Esta fecha límite podría corresponder al vencimiento de la infraestructura de comando y control alquilada, a cambios previstos en el mercado de criptomonedas o a una transición estratégica a una cepa de malware sucesora.
Escalada de privilegios y optimización de minería mediante BYOVD
Durante una rutina de infección estándar, el binario, funcionando como un portador autónomo, escribe todos los componentes necesarios en el disco. Entre ellos se encuentra un ejecutable legítimo del servicio de telemetría de Windows, que se utiliza para instalar la DLL del minero malicioso.
También se implementan mecanismos de persistencia, junto con componentes diseñados para desactivar las herramientas de seguridad. Para garantizar privilegios de ejecución elevados, el malware emplea la técnica "traiga su propio controlador vulnerable" (BYOVD) utilizando el controlador defectuoso "WinRing0x64.sys". Este controlador está afectado por CVE-2020-14979, una vulnerabilidad con una puntuación CVSS de 7,8 que permite la escalada de privilegios.
Al integrar este exploit directamente en el minero XMRig personalizado, los atacantes obtienen un control de bajo nivel sobre las configuraciones de la CPU. Esta optimización aumenta el rendimiento de la minería de RandomX entre un 15 % y un 50 %, lo que mejora significativamente la rentabilidad.
Propagación similar a un gusano y movimiento lateral
A diferencia de los troyanos tradicionales, que dependen únicamente de la ejecución inicial del usuario, esta variante de XMRig incorpora características de propagación agresivas. Se propaga activamente a través de dispositivos de almacenamiento extraíbles, lo que permite la propagación lateral entre sistemas, incluso en entornos aislados.
Esta capacidad similar a la de un gusano transforma el malware en una amenaza que se autopropaga, ampliando sustancialmente su alcance dentro de las redes organizacionales y aumentando la escala de la botnet.
Cronograma operativo e implicaciones estratégicas
La evidencia forense indica una actividad minera intermitente durante noviembre de 2025, seguida de un aumento marcado a partir del 8 de diciembre de 2025. Este patrón sugiere estrategias de despliegue o activación por fases destinadas a evitar la detección temprana.
La campaña subraya la continua evolución del malware genérico. Mediante la combinación de ingeniería social, suplantación de software legítimo, propagación tipo gusano y explotación a nivel de kernel, los actores de amenazas han diseñado una botnet de criptojacking duradera y de alto rendimiento, capaz de minar criptomonedas de forma sostenida y optimizada.
