Un sofisticado grupo de delitos cibernéticos denominado “Dark Partners” se ha convertido en una amenaza significativa para los usuarios de criptomonedas de todo el mundo, orquestando campañas de robo a gran escala a través de una extensa red de sitios web falsos que se hacen pasar por herramientas de inteligencia artificial, servicios VPN y marcas de software populares.
Activo desde al menos en mayo de 2025, este grupo motivado financieramente ha desplegado una infraestructura compleja que abarca más de 250 dominios maliciosos, atacando a las víctimas en los Estados Unidos, la Unión Europea, Rusia, Canadá y Australia a través de tácticas de ingeniería social cuidadosamente elaboradas.
Las operaciones del grupo se centran en la distribución de dos familias de malware primarias: Poseidon Stealer dirigido a los sistemas MacOS y el cargador de días de pago diseñado para entornos de Windows.
Estas herramientas sofisticadas permiten el robo de billeteras de criptomonedas, credenciales y datos confidenciales, que posteriormente se monetizan a través de los mercados cibercriminales.
Los atacantes han demostrado una notable escalabilidad, hacerse pasar por al menos 37 aplicaciones y servicios populares, incluidas plataformas criptográficas, servicios VPN y marcas de software ampliamente utilizadas.
Analistas de Alphahunt identificado Las sofisticadas técnicas de evasión del grupo, que incluyen el uso de certificados de firma de código robado y medidas avanzadas contra el sandboxing para evitar la detección de los sistemas de seguridad.
Los cibercriminales emplean estrategias de envenenamiento de SEO para manipular los resultados de los motores de búsqueda, dirigiendo a las víctimas a sitios web maliciosos que imitan de cerca las páginas de descarga de software legítimas.
Este enfoque ha demostrado ser particularmente efectivo para dirigir a sectores ricos en activos digitales, incluidas las compañías de criptomonedas y blockchain, empresas de tecnología y organizaciones de servicios financieros.
Mecanismos avanzados de persistencia y evasión
La sofisticación técnica del malware de Dark Partners se encuentra en sus mecanismos de persistencia de varias capas y capacidades de evasión de detección.
En los sistemas MacOS, Poseidon Stealer establece la persistencia a través de agentes de lanzamiento y tareas programadas, creando múltiples vías para mantener el acceso a sistemas comprometidos.
El malware aprovecha las características específicas de MacOS para incrustarse profundamente dentro de los procesos de inicio del sistema operativo, asegurando la operación continua incluso después de reiniciar el sistema.
Para los entornos de Windows, Payday Loader emplea scripts de PowerShell y discos duros virtuales como mecanismos de persistencia, utilizando herramientas legítimas del sistema para mantener el sigilo.
La arquitectura modular del malware se gestiona a través del panel de día de pago, una plataforma centralizada de comando y control que permite una adaptación rápida y operaciones escalables en la infraestructura global del grupo.
Este sofisticado sistema de gestión permite a los operadores implementar nuevas cargas útiles, actualizar técnicas de evasión y coordinar ataques multiplataforma con eficiencia sin precedentes, lo que hace que los socios oscuros sean una de las operaciones de robo de criptomonedas más avanzadas técnicamente observadas en 2025.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
