Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware XWorm 6.0

Malware XWorm 6.0

Por Mezo en Software malicioso, Gusanos
Traducir a:

Los investigadores de seguridad han rastreado XWorm desde un marco compacto de acceso remoto hasta una plataforma altamente modular que los operadores utilizan para ejecutar una amplia gama de operaciones maliciosas en hosts Windows comprometidos. Detectado por primera vez en 2022 y vinculado a un grupo con el nombre de usuario EvilCoder, XWorm ha sido desarrollado y rediseñado activamente por personas que utilizan los perfiles XCoder (desarrollador principal hasta mediados de 2024) y, más recientemente, por proveedores como XCoderTools. Su continua evolución y reaparición demuestran la rapidez con la que una herramienta puede fragmentarse, reempaquetarse y volver a estar disponible.

Cómo se crea XWorm: núcleo y complementos

La arquitectura de XWorm se centra en un cliente pequeño que se conecta a un servidor de Comando y Control (C2) y un amplio conjunto de cargas útiles de complementos que se cargan en memoria bajo demanda. Este diseño permite a los operadores mantener el cliente ligero en un host mientras envían dinámicamente funcionalidades (DLL) para realizar tareas específicas. El ecosistema del proyecto también incluye herramientas auxiliares promovidas por los desarrolladores: un generador de malware .NET, un RAT independiente llamado XBinder y una utilidad que intenta eludir el Control de Cuentas de Usuario de Windows (UAC). La comunidad de desarrolladores de XWorm ha promocionado otros componentes e instaladores falsos (en particular, instaladores maliciosos de ScreenConnect) como señuelos de distribución.

Cadenas de infección y técnicas de transmisión

Los investigadores han observado múltiples y cambiantes flujos de trabajo de infección para XWorm. Las primeras cadenas se basaban en mensajes de phishing que enviaban archivos de acceso directo de Windows (LNK); los LNK ejecutaban PowerShell, que descargaba archivos señuelo (por ejemplo, un TXT inofensivo) y un ejecutable engañoso (comúnmente camuflado en Discord) que, en última instancia, lanzaba la carga útil real. Campañas más recientes que distribuyen la familia 6.x han utilizado adjuntos de JavaScript malicioso en correos electrónicos de phishing que muestran un PDF señuelo mientras ejecutan PowerShell en segundo plano que inyecta XWorm en procesos legítimos como RegSvcs.exe para evitar la detección. Los actores de amenazas también han distribuido versiones pirateadas o troyanizadas de componentes de XWorm a través de repositorios de GitHub, sitios de intercambio de archivos, canales de Telegram y YouTube, intentando engañar a operadores menos experimentados para que instalen compiladores con puertas traseras.

Funciones de evasión, control remoto y operador

XWorm integra múltiples comprobaciones antianálisis que cancelan la ejecución al detectar indicadores de virtualización o sandbox. Una vez activo, el cliente acepta comandos del C2 que abarcan operaciones comunes de RAT (transferencia de archivos, manipulación de procesos y servicios, ejecución de comandos de shell, apertura de URL), control del sistema (apagado/reinicio) y acciones más agresivas, como el lanzamiento de ataques DDoS. El modelo modular de plugins permite a un operador remoto ejecutar más de 35 cargas útiles de DLL diferentes en memoria sin escribirlas en el disco, lo que proporciona a XWorm una superficie de ataque flexible y reduce los rastros forenses.

Protocolo de entrega de complementos

XWorm 6.x implementa un protocolo de plugin que prioriza el hash: el C2 emite un comando 'plugin' que contiene el hash SHA-256 de la DLL solicitada, además de los argumentos de ejecución. El cliente comprueba si ya tiene ese plugin en caché; de no ser así, solicita el archivo con 'sendplugin'. El servidor responde con el comando 'savePlugin', que contiene el plugin como un blob base64 y su hash SHA-256. El cliente decodifica el blob, verifica el hash y carga la DLL directamente en memoria para su ejecución.

Complementos destacados y su función

  • RemoteDesktop.dll: establece una sesión remota interactiva.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll: robo de credenciales y datos del sistema operativo y aplicaciones (claves de Windows, contraseñas de Wi-Fi, credenciales almacenadas en el navegador, incluidas omisiones para el cifrado vinculado a la aplicación y recopiladores para FileZilla, Discord, Telegram, MetaMask).
  • FileManager.dll: acceso y manipulación del sistema de archivos.
  • Shell.dll: ejecución oculta de comandos del operador a través de cmd.exe.
  • Informations.dll — huellas dactilares del host/sistema.
  • Webcam.dll: captura imágenes/videos de la cámara web para confirmar que es una víctima real.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll: enumera las conexiones de red, las ventanas activas y las entradas de inicio automático.
  • Ransomware.dll: rutinas de cifrado/descifrado de archivos (comparte código con ransomware estilo NoCry).
  • Rootkit.dll: instala un rootkit r77 modificado.
  • ResetSurvival.dll: modifica el Registro de Windows para sobrevivir a ciertos reinicios de dispositivos.

Otros programas maliciosos distribuidos a través de infecciones de XWorm incluyen:

  • Ladrón de nubes oscuras
  • Gusano (rata de escuela bíblica de verano)
  • Registrador de teclas Snake
  • Mineros de monedas
  • Malware puro
  • ShadowSniff (ladrón de Rust, código abierto)
  • Ladrón fantasma
  • Ladrón de femedrones
  • Remcos RAT

Reveses operativos, fragmentación y bifurcaciones armadas

El desarrollo de XWorm no ha sido lineal. En la segunda mitad de 2024, el personaje XCoder eliminó abruptamente su presencia en Telegram, lo que puso en duda el futuro del proyecto. Sin embargo, esta interrupción generó actividad oportunista: paquetes pirateados de XWorm v5.6 que, a su vez, fueron troyanizados para infectar a otros actores de amenazas, y campañas de ingeniería social dirigidas a "script kiddies" a través de GitHub y otros canales públicos. Estas campañas, según los investigadores, intentaron comprometer decenas de miles de dispositivos (según se informa, más de 18 000).

Los analistas también encontraron bifurcaciones modificadas, incluyendo una variante denominada XSPY (de origen reportado: variante en chino) y una vulnerabilidad crítica de ejecución remota de código (RCE) en algunas compilaciones que permitía a alguien con la clave de cifrado C2 ejecutar código arbitrario en hosts infectados. La fragmentación del kit de herramientas dificulta la atribución y la eliminación; diferentes vendedores y bifurcaciones pueden aparecer y desaparecer de forma independiente.

El resurgimiento de 2025: XWorm 6.0 y la actividad del mercado

El 4 de junio de 2025, un proveedor autodenominado XCoderTools publicó XWorm 6.0 en foros de ciberdelincuencia con un precio de 500 $ con acceso de por vida, afirmando que la versión estaba completamente recodificada y que la falla de RCE previamente reportada se había corregido. No está claro si esta versión provino del autor original o de un tercero que utiliza la marca XWorm. Las muestras observadas de XWorm 6.0 están configuradas para contactar con un C2 en 94.159.113[.]64 en el puerto 4411 e implementar el protocolo de complemento descrito anteriormente, lo que permite la entrega rápida en memoria de docenas de módulos DLL.

En resumen

El ciclo de vida de XWorm —desde su desarrollo activo, pasando por su abandono, hasta su reaparición con nuevos vendedores y versiones pirateadas troyanizadas— nos recuerda que el malware es un ecosistema. Incluso si un autor original desaparece, su código puede ser bifurcado, convertido en arma y redistribuido por otros. Por lo tanto, los defensores deben centrarse en controles resilientes y estrategias de detección que asuman que los adversarios reutilizarán y reempaquetarán las herramientas existentes.

Tendencias

La versión de su buzón será descontinuada (estafa)

Suplantación de identidad (phishing), Correo basura
Los estafadores en línea desarrollan continuamente nuevos trucos para engañar a los usuarios y robar datos valiosos. Un ejemplo es la estafa "La versión de su buzón será descontinuada", una campaña de phishing diseñada para obtener credenciales de inicio de sesión de víctimas desprevenidas. Los expertos en ciberseguridad advierten que estos mensajes fraudulentos no están asociados con ninguna...

Mas Visto

Cargando...