Ha surgido una nueva y sofisticada campaña cibercriminal, aprovechando un robador de información basado en Python conocido como PXA Stealer para orquestar una de las operaciones de robo de datos más extensas observadas en los últimos meses.
El malware, que surgió por primera vez a fines de 2024, se ha convertido en una operación de varias etapas altamente evasiva que ha comprometido con éxito a más de 4,000 víctimas únicas en 62 países, con los datos robados que incluyen más de 200,000 contraseñas únicas, cientos de registros de tarjetas de crédito y más de 4 millones de cookies de navegador cosechadas.
La campaña representa un salto significativo en la artesanía cibercriminal, que incorpora técnicas avanzadas contra el análisis, contenido de señuelo no malicioso y una tubería de comando y control endurecida diseñada para frustrar el análisis de seguridad y la detección de retrasos.
Los actores de amenaza detrás de esta operación han demostrado una notable adaptabilidad, refinando continuamente sus mecanismos de entrega y estrategias de evasión a lo largo de 2025.
En particular, han adoptado nuevas técnicas de respuesta lateral que involucran software firmado legítimo como Haihaisoft PDF Reader y Microsoft Word 2013, DLL maliciosas ocultas y archivos integrados disfrazados de tipos de archivos comunes.
La distribución geográfica de las víctimas revela un impacto verdaderamente global, ya que Corea del Sur, los Estados Unidos, los Países Bajos, Hungría y Austria son las regiones más dirigidas.
Analistas de Sentinellabs identificado La operación como la orquestada por los círculos cibercriminales de habla vietnamita que han desarrollado un sofisticado ecosistema subterráneo basado en suscripción que automatiza eficientemente la reventa y reutilización de credenciales robadas a través de la infraestructura API de Telegram.
Bio e info campos de perfiles de telegrama disfrazados de bots (fuente – Sentinelone)
Lo que distingue esta campaña de las operaciones típicas de robo de información es su integración con un marco integral de monetización.
Los datos robados se alimentan directamente a plataformas criminales como Sherlock, donde se normaliza, clasifica y pone a disposición para la compra por cibercriminales posteriores.
Este enfoque industrializado para el robo de datos permite a los actores participar en el robo de criptomonedas o las credenciales de acceso a la compra para infiltrarse en organizaciones para diversos fines maliciosos, creando una economía criminal autosuficiente.
Mecanismo de infección avanzado y tácticas de persistencia
El robador de PXA emplea una cadena de infección particularmente sofisticada que comienza con señuelos de phishing que contienen grandes archivos comprimidos.
Cadena de actividad de múltiples etapas (fuente-Sentinelone)
En las iteraciones más recientes observadas en julio de 2025, las víctimas reciben archivos que contienen un ejecutable legítimo de Microsoft Word 2013 junto con una DLL maliciosa llamada MSVCR100.dll que se resuelve cuando se ejecuta el ejecutable de Word.
El ataque aprovecha la orden de búsqueda de DLL de Windows, donde el sistema operativo busca bibliotecas requeridas en el directorio local antes de verificar los directorios del sistema.
Tras la ejecución, el DLL de la etiqueta lateral inicia un complejo proceso de varias etapas diseñado para evadir la detección.
El malware inicia por primera vez un documento de señuelo benigno llamado Tax-INVOICE-EV.DOCX, que muestra un aviso de infracción de derechos de autor falso para mantener la ilusión de legitimidad al tiempo que sirve simultáneamente como una característica anti-análisis que potencialmente desperdicia el tiempo de los analistas de seguridad.
Luego, el sistema ejecuta una serie de comandos codificados, comenzando con Certutil para decodificar archivos integrados: certutil -decode documents.pdf lx8bzeztzf5xsonpdc.rar
El archivo decodificado se extrae posteriormente utilizando un ejecutable legítimo de Winrar disfrazado de imágenes.png: images.png x -ps8skxaoudhx78cncmjawuxjaxwnazvek -inul -y lx8bzeztzf5xsonpdc.rar c: \ uss \ public \ lx8bzzztzf5xsonpdc.
Código de Python ofuscado alojado en Paste (.) RS (Fuente – Sentinelone)
Este proceso extrae un intérprete de Python portátil renombrado como SVCHOST.exe junto con el script de Python malicioso, camuflando efectivamente el malware como procesos de sistema legítimos.
Para garantizar la persistencia, el malware establece una clave de ejecución de registro utilizando el comando: reg agregar “HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run” /V “C: \ Users \ public \ LX8BZEZTZF5XSONPDC \ Photos” /F, garantizando la ejecución sobre el reinicio del sistema y manteniendo el acceso a largo plazo a los sistemas comprometidos.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
