Las 5 Campañas de Malware más Activas en el Primer Trimestre de 2025

El primer trimestre de 2025 ha sido un verdadero campo de batalla en ciberseguridad. Los cibercriminales no han perdido el tiempo: han lanzado nuevas campañas de malware más agresivas y han perfeccionado sus métodos para evadir defensas y atacar a usuarios y empresas por igual.  

En estos primeros meses del año, varias campañas han logrado colarse en sistemas de seguridad, infectando dispositivos y robando información sin que muchas víctimas siquiera lo noten. Lo peor es que estos ataques no solo buscan tus datos, sino que también pueden bloquear sistemas completos y exigir rescates millonarios para restaurar el acceso.

Si no quieres ser su próximo objetivo, es clave entender cómo operan estas amenazas y qué puedes hacer para evitarlas. A continuación, te contaramos sobre cinco de las campañas de malware más activas de 2025 y, lo más importante, cómo mantenerte a salvo.

1. NetSupport RAT y la Técnica ClickFix: Un Ataque Sigiloso y Peligroso

Los ciberdelincuentes siguen innovando, y en 2025 han encontrado una nueva forma de propagar NetSupport RAT, un troyano de acceso remoto (RAT) que les da control total sobre los dispositivos infectados. Para distribuirlo, están utilizando una técnica llamada ClickFix, que engaña a los usuarios con falsos CAPTCHA y los hace ejecutar comandos maliciosos sin darse cuenta.

¿Cómo funciona el ataque?

El truco detrás de ClickFix es simple pero efectivo:

1. Inyectan páginas CAPTCHA falsas en sitios web comprometidos.
   
   
2. Al hacer clic para "verificar" que no eres un bot, se ejecuta un comando de PowerShell oculto.
   
   
3. Este comando descarga e instala NetSupport RAT, otorgando acceso total al atacante.

Una vez dentro, los ciberdelincuentes pueden hacer prácticamente lo que quieran en el sistema de la víctima, desde espiar en tiempo real hasta robar credenciales o manipular archivos críticos.

¿Qué puede hacer NetSupport RAT en tu equipo?

Este malware no es solo una molestia, es una amenaza seria. Algunas de sus capacidades incluyen:

1. Control total del sistema: los atacantes pueden ver y manejar la pantalla de la víctima en tiempo real.
   
   
2. Manipulación de archivos: pueden subir, descargar, modificar o eliminar cualquier archivo.
   
   
3. Ejecución remota de comandos: incluso pueden correr scripts de PowerShell sin que el usuario lo note.
   
   
4. Robo de información: captura texto copiado, incluidas contraseñas y datos sensibles.
   
   
5. Keylogger: registra cada tecla que se presiona, lo que facilita el robo de credenciales.
   
   
6. Persistencia: se oculta en carpetas de inicio, claves de registro y tareas programadas para seguir activo tras un reinicio.
   
   
7. Evasión de detección: usa técnicas de ofuscación de código e inyección de procesos para evitar los antivirus.
   
   
8. Comunicación encubierta: mantiene contacto con los atacantes mediante tráfico cifrado.

Técnicas que usa para evitar ser detectado

NetSupport RAT no solo infecta sistemas, sino que lo hace de manera sigilosa. Algunas de sus tácticas incluyen:

1. Se asegura de ejecutarse siempre: modifica claves del registro y usa scripts en segundo plano.
   
   
2. Analiza el entorno: revisa el idioma del sistema y el nombre de la computadora para ajustar su comportamiento.
   
   
3. Oculta su rastro: borra ejecutables legítimos de Windows y crea conexiones ocultas para comunicarse con los atacantes.

¿Cómo protegerte de NetSupport RAT?

1. No confíes en CAPTCHA sospechosos. Si una página te pide realizar demasiados pasos para verificar que eres humano, es mejor cerrar la pestaña y no continuar.
   
   
2. Evita hacer clic en enlaces desconocidos. Si recibes un correo o mensaje con un enlace que no esperabas, verifica su origen antes de abrirlo.
   
   
3. Mantén tu sistema y antivirus actualizados. Muchos RATs aprovechan vulnerabilidades en software desactualizado para entrar sin ser detectados.
   
   
4. Revisa procesos sospechosos en tu equipo. Si notas que tu computadora se comporta de manera extraña, abre el Administrador de Tareas y revisa qué procesos están activos.
   
   
5. Configura restricciones para PowerShell. Muchos ataques dependen de este servicio para ejecutarse sin permisos visibles.

Podría interesarte leer: Nuevo Phishing: Táctica con Microsoft Office Instala NetSupport RAT

2. Lynx Ransomware: El Negocio del Cibercrimen Hecho Servicio

El ransomware ya no es solo cosa de hackers solitarios escribiendo código en la oscuridad. Ahora es un negocio bien estructurado, y Lynx Ransomware-as-a-Service (RaaS) es una prueba de ello. Este grupo opera como una empresa criminal organizada, ofreciendo un programa de afiliados donde cualquier ciberdelincuente, incluso sin grandes conocimientos técnicos, puede lanzar ataques a cambio de una parte de las ganancias.

Inspirado en versiones anteriores de ransomware como INC, Lynx ha mejorado su código, reforzado su cifrado y ampliado su alcance a distintos sectores en varios países. Su plataforma permite a los afiliados seleccionar objetivos, generar muestras de ransomware personalizadas y programar la filtración de datos si las víctimas no pagan el rescate. Y como incentivo, ofrece hasta el 80 % de las ganancias a sus afiliados.

Si una empresa se niega a pagar, Lynx tiene su propio sitio de filtraciones, donde publica los datos robados para presionar aún más a las víctimas.

Los Ataques Más Relevantes de Lynx en 2025

En los primeros meses del año, Lynx ha intensificado su actividad, atacando empresas de distintos sectores con tácticas cada vez más sofisticadas.

1. Febrero 2025: El grupo se atribuyó el hackeo de Brown and Hurley, un concesionario de camiones en Australia. Se robaron 170 GB de datos confidenciales, incluyendo contratos, documentos de recursos humanos, información financiera y datos de clientes.
   
   
2. Enero 2025: Lynx también comprometió a Hunter Taubman Fischer & Li LLC, una firma de abogados en EE. UU. especializada en derecho corporativo y financiero.

Estos ataques demuestran que Lynx no discrimina a la hora de elegir víctimas y está dispuesto a explotar cualquier tipo de información sensible.

¿Cómo Funciona el Ransomware Lynx?

Lynx no es un simple virus que bloquea archivos. Es una herramienta avanzada diseñada para maximizar el daño y forzar el pago del rescate. Estas son algunas de sus capacidades:

1. Cifra todos los archivos en discos locales, unidades de red y dispositivos externos.
   
   
2. Se puede personalizar para apuntar a tipos de archivos, carpetas o extensiones específicas.
   
   
3. Roba datos sensibles antes del cifrado, incluyendo documentos, credenciales e información financiera.
   
   
4. Envía los datos robados a servidores remotos usando conexiones cifradas (HTTPS o protocolos ocultos).
   
   
5. Elimina copias de seguridad y desactiva las funciones de recuperación de Windows para que no sea posible restaurar los archivos.
   
   
6. Cierra aplicaciones que puedan interferir con el cifrado utilizando RestartManager.
   
   
7. Extrae credenciales almacenadas en navegadores y el Administrador de credenciales de Windows.
   
   
8. Se conecta a servidores ocultos en la red Tor, asegurando la comunicación entre atacantes sin ser detectados.
   
   
9. Detecta entornos virtuales y herramientas de análisis, cambiando su comportamiento para evitar ser investigado.
   
   
10. Se ejecuta directamente en la memoria del sistema, sin escribir archivos en el disco, lo que lo hace difícil de detectar por antivirus.
    
    

Nota de rescate del ransomware lynx (Fuente: Any.run)

¿Cómo Protegerse de Lynx Ransomware?

Si bien Lynx es una de las amenazas más avanzadas, hay formas de minimizar el riesgo de infección:

1. Realiza copias de seguridad frecuentes. Guarda tus archivos más importantes en unidades externas desconectadas o en la nube con protección contra ransomware. Soluciones como TecnetProtect ofrecen backups automatizados y cifrados, asegurando que tus datos permanezcan a salvo incluso si un ransomware intenta encriptarlos o eliminarlos. Además, su sistema de detección avanzada puede identificar actividad sospechosa y bloquear ataques antes de que causen daño.
   
   
2. No hagas clic en enlaces sospechosos ni abras archivos adjuntos desconocidos. El phishing sigue siendo la principal vía de infección.
   
   
3. Mantén tus sistemas y programas actualizados. Muchos ataques explotan vulnerabilidades en software desactualizado.
   
   
4. Usa autenticación multifactor (MFA). Esto dificulta que los atacantes accedan a cuentas con credenciales robadas.
   
   
5. Deshabilita macros en documentos de Office. Muchas infecciones comienzan con archivos aparentemente inofensivos que contienen macros maliciosas.
   
   
6. Monitorea actividad inusual en la red. El tráfico cifrado sospechoso puede indicar la presencia de ransomware o filtración de datos.

Lynx Ransomware no es solo una amenaza, es una industria en crecimiento dentro del cibercrimen. Estar informado y tomar precauciones es clave para evitar ser la próxima víctima.

Podría interesarte leer:  10 Principales Grupos y Canales de Telegram en la Dark Web

3. AsyncRAT: Un Malware Sigiloso que Usa Python y TryCloudflare

En los primeros meses de 2025, investigadores de ciberseguridad detectaron una nueva campaña de malware que aprovecha AsyncRAT, un troyano de acceso remoto (RAT) diseñado para el espionaje y el control total de sistemas infectados. Lo que hace que este ataque sea especialmente peligroso es el uso de cargas útiles en Python y túneles de TryCloudflare, lo que le permite moverse con sigilo y mantenerse activo sin levantar sospechas.

¿Cómo funciona el ataque?

Todo comienza con un clásico correo de phishing, pero esta vez con un giro interesante. El mensaje incluye un enlace a Dropbox, que parece inofensivo, pero en realidad es la puerta de entrada al ataque.

1. El usuario hace clic en el enlace y descarga un archivo ZIP.
   
   
2. Dentro del ZIP hay un archivo de acceso directo a Internet (URL) que, al ejecutarse, redirige a otro archivo LNK alojado en TryCloudflare.
   
   
3. Al abrirse el archivo LNK, se ejecuta una serie de scripts en PowerShell, JavaScript y por lotes, que terminan descargando y ejecutando un archivo en Python.
   
   
4. Ese archivo es el responsable de instalar AsyncRAT, Venom RAT y XWorm, otorgando a los atacantes un control total del dispositivo.

Este método no solo hace que el malware sea difícil de detectar, sino que también le permite instalar varias amenazas al mismo tiempo.

¿Qué puede hacer AsyncRAT?

Una vez dentro del sistema, AsyncRAT les da a los atacantes un control prácticamente ilimitado:

1. Ejecutar comandos en el dispositivo sin que la víctima lo note.
   
   
2. Monitorear la actividad del usuario, incluyendo lo que escribe y qué aplicaciones usa.
   
   
3. Gestionar archivos, lo que significa que pueden robar, modificar o eliminar documentos importantes.
   
   
4. Robar credenciales y datos personales, como contraseñas almacenadas en el navegador.
   
   
5. Mantener el acceso de manera persistente, manipulando claves del registro de Windows y escondiéndose en carpetas de inicio.
   
   
6. Evadir antivirus y herramientas de seguridad mediante ofuscación y cifrado avanzado.
   
   

AsyncRAT usa cifrado AES con claves codificadas, lo que hace que sus comunicaciones sean prácticamente indetectables, dificultando la detección y el análisis por parte de los sistemas de seguridad.

¿Cómo protegerse de AsyncRAT?

1. Desconfía de enlaces en correos electrónicos. Si recibes un mensaje con un enlace a Dropbox u otro servicio de almacenamiento sin esperarlo, verifica su autenticidad antes de hacer clic.
   
   
2. No abras archivos ZIP o accesos directos (LNK) de fuentes desconocidas. Son métodos comunes para distribuir malware sin que el usuario lo note.
   
   
3. Mantén tu antivirus y sistemas de seguridad actualizados. Muchos ataques dependen de vulnerabilidades en software desactualizado.
   
   
4. Monitorea el tráfico de red. Las conexiones inusuales a servicios como TryCloudflare pueden ser una señal de infección.
   
   
5. Usa soluciones avanzadas de ciberseguridad. Plataformas como el SOC as a Service de TecnetOne pueden detectar y bloquear ataques de RATs gracias a su protección en tiempo real y análisis de comportamiento.

AsyncRAT es una amenaza seria que sigue evolucionando, pero con buenos hábitos de seguridad y herramientas adecuadas, puedes reducir el riesgo de ser víctima de este tipo de ataques.

Conoce más sobre:  Prevención y Análisis del Troyano AsyncRAT

4. Lumma Stealer: Un Malware que se Oculta en GitHub

Los cibercriminales siempre buscan nuevas formas de distribuir malware sin levantar sospechas, y en 2025 encontraron una estrategia ingeniosa: usar GitHub como plataforma de distribución.

Investigadores de ciberseguridad descubrieron que los atacantes están aprovechando la infraestructura confiable de GitHub para propagar Lumma Stealer, un malware especializado en el robo de información. Al disfrazar sus cargas maliciosas como proyectos legítimos, logran evadir sistemas de seguridad y engañar a víctimas desprevenidas para que descarguen y ejecuten el malware.

Pero Lumma Stealer no actúa solo. Una vez dentro del sistema, puede descargar y ejecutar otras amenazas, como SectopRAT, Vidar, Cobeacon y nuevas variantes de sí mismo, ampliando el alcance del ataque.

¿Qué puede hacer Lumma Stealer?

1. Robar credenciales almacenadas en navegadores, incluyendo contraseñas y cookies.
   
   
2. Extraer información de billeteras de criptomonedas, facilitando el robo de fondos digitales.
   
   
3. Obtener detalles del sistema de la víctima, como hardware y configuraciones.
   
   
4. Enviar los datos robados a servidores remotos en tiempo real.
   
   
5. Mantenerse activo en el equipo, modificando registros y configuraciones de inicio.
   
   
6. Descargar y ejecutar más malware, convirtiendo el dispositivo en un punto de entrada para ataques aún más peligrosos.

Si bien GitHub ha tomado medidas para eliminar proyectos maliciosos, los atacantes siguen adaptándose, por lo que es fundamental descargar software solo de fuentes confiables y utilizar herramientas de monitoreo de seguridad, como un NOC, para detectar patrones sospechosos de comunicación en la red.

Podría interesarte leer:  Los 10 Beneficios Clave del Monitoreo de Red para tu Empresa

5. InvisibleFerret: Malware Escondido en Ofertas de Trabajo Falsas

En 2025, la ingeniería social sigue siendo una de las tácticas más efectivas para engañar a las víctimas, y los atacantes han estado aprovechando esta técnica para distribuir InvisibleFerret, un malware sigiloso basado en Python.

Este malware se oculta detrás de ofertas de trabajo falsas, donde ciberdelincuentes se hacen pasar por reclutadores para engañar a profesionales y hacerles descargar archivos maliciosos. La víctima cree que está instalando una herramienta legítima para el proceso de selección, pero en realidad está infectando su propio sistema.

¿Cómo funciona el ataque?

1. El usuario es contactado por un supuesto reclutador que le ofrece una oportunidad laboral atractiva.
   
   
2. Durante el proceso de selección, se le pide que descargue un software supuestamente necesario para la entrevista.
   
   
3. El software contiene InvisibleFerret, que se instala sin que la víctima lo note.
   
   
4. Una vez dentro, comienza a robar información confidencial, incluyendo código fuente, credenciales de acceso, billeteras de criptomonedas y documentos personales.

Pero el ataque no termina ahí. InvisibleFerret suele llegar al sistema como una segunda carga maliciosa, instalada a través de otro malware llamado BeaverTail. Este último se oculta como un módulo NPM y crea un entorno de ejecución Python portátil, lo que le permite operar sin depender de archivos visibles en el sistema.

¿Por qué InvisibleFerret es tan peligroso?

1. Usa scripts de Python altamente ofuscados, dificultando su detección y análisis.
   
   
2. Roba datos sensibles, desde información financiera hasta archivos personales y credenciales de acceso.
   
   
3. Se instala de forma persistente, asegurando que los atacantes mantengan el control a largo plazo.
   
   
4. Utiliza BeaverTail como puerta trasera, lo que le permite ejecutar comandos y descargar más malware en el dispositivo infectado.
   
   
5. Recopila información del sistema y ubicación de la víctima, usando servicios como ip-api.com, una técnica común en ataques a criptocarteras.

¿Cómo evitar ser víctima de estos ataques?

1. Sospecha de ofertas de trabajo demasiado buenas para ser verdad. Antes de descargar cualquier herramienta en un proceso de selección, verifica la autenticidad de la empresa y del reclutador.
   
   
2. Evita instalar software de fuentes desconocidas. Si un "reclutador" te pide instalar algo fuera de los canales oficiales de la empresa, es una señal de alerta.
   
   
3. Mantén tu equipo y programas actualizados. Muchas amenazas aprovechan vulnerabilidades en software desactualizado.
   
   
4. Usa soluciones avanzadas de ciberseguridad. Las soluciones de ciberseguridad que ofrece TecnetOne pueden detectar actividad maliciosa, bloquear malware basado en Python y analizar conexiones sospechosas en la red.
   
   
5. Activa autenticación multifactor (MFA). Si alguna de tus credenciales es robada, MFA puede evitar que los atacantes accedan a tus cuentas.

InvisibleFerret demuestra cómo los ciberdelincuentes han perfeccionado sus tácticas de engaño, explotando la confianza de las víctimas para infiltrarse en sus sistemas. Mantenerse alerta y tomar precauciones es clave para evitar caer en este tipo de trampas.

No dejes que las amenazas pasen desapercibidas: detéctalas con TecnetProtect

El primer trimestre de 2025 ha estado repleto de ciberamenazas agresivas y sigilosas, desde operaciones de ransomware hasta ladrones de datos silenciosos. Pero los atacantes no tienen por qué ganar.

Entender cómo operan estos malware y aplicar medidas de seguridad efectivas es clave para evitar caer en sus redes. Mantener tus sistemas actualizados, evitar descargas sospechosas y usar autenticación multifactor son pasos esenciales, pero también es fundamental contar con herramientas avanzadas que detecten amenazas en tiempo real.

TecnetProtect es una solución de ciberseguridad integral que ofrece protección avanzada contra ransomware, monitoreo de actividad maliciosa y respaldo seguro de datos. Con su capacidad para analizar el comportamiento de archivos sospechosos y bloquear ataques antes de que se propaguen, TecnetProtect ayuda las empresas a mantenerse protegidas frente a estas ciberamenazas.