Los grupos de ransomware no se están quedando atrás. Cada vez perfeccionan más sus métodos, y últimamente hay una herramienta que está ganando popularidad entre ellos: Skitnet, también conocida como "Bossnet". Este malware no aparece al principio del ataque, sino que se activa después de que la red ya fue comprometida, funcionando como una especie de llave maestra que les permite moverse dentro del sistema, mantenerse ocultos y preparar ataques aún más dañinos. Es una herramienta silenciosa, eficaz y diseñada para operar sin levantar sospechas.
Desde que comenzó a venderse en foros clandestinos en abril de 2024, Skitnet ha ido ganando terreno rápidamente, sobre todo desde principios de 2025. Investigadores de ciberseguridad han detectado su uso en ataques reales por parte de grupos como BlackBasta y Cactus, incluso en campañas de phishing dirigidas a empresas a través de Microsoft Teams.
Si trabajas con información sensible o estás a cargo de una red corporativa, entender qué hace Skitnet y por qué se está convirtiendo en la herramienta favorita de los cibercriminales no es algo que puedas dejar para después, es una prioridad urgente.
El malware promocionado en foros (Fuente: Prodaft)
Skitnet no entra haciendo ruido. Todo comienza con un pequeño programa escrito en Rust que se ejecuta en la computadora víctima. Este programa, que actúa como un "cargador", desencripta un archivo más avanzado escrito en Nim, usando el cifrado ChaCha20, y lo carga directamente en la memoria del sistema —sin dejar rastro en el disco duro.
Una vez que está en marcha, esta segunda parte del malware crea una conexión inversa con el atacante, usando algo bastante inusual: consultas DNS. En lugar de conectarse directamente a un servidor, como hacen muchos malwares, Skitnet se comunica a través de peticiones DNS aparentemente normales, lo que le permite pasar desapercibido por muchos sistemas de seguridad.
En segundo plano, el malware lanza tres hilos de trabajo: uno envía señales periódicas (como un latido del sistema) para decir "sigo aquí", otro se encarga de revisar lo que pasa dentro del sistema y filtrar la salida de comandos, y el tercero se dedica a recibir instrucciones del atacante a través de esas mismas respuestas DNS, descifrarlas y ejecutarlas.
Toda esta comunicación (ya sea por DNS o HTTP) se gestiona desde un panel de control remoto (C2) que le permite al atacante ver la IP, ubicación y estado del dispositivo infectado, y enviar órdenes para ejecutar lo que desee. En resumen: es una puerta trasera muy bien hecha, diseñada para espiar, controlar y ejecutar comandos sin ser detectada.
Panel de administración de Skitnet
Conoce más sobre: Sistemas Operativos Preferidos por los Hackers: Más Allá de Windows
Una vez que Skitnet logra entrar a un sistema, tiene a su disposición un conjunto de comandos que le permiten al atacante tomar el control total de la máquina y hacer prácticamente lo que quiera, todo de forma silenciosa. Aquí te explicamos qué puede hacer:
Inicio: Este comando establece la persistencia, o sea, se asegura de que Skitnet siga funcionando incluso si reinicias la computadora. Para lograrlo, descarga tres archivos (entre ellos una DLL maliciosa) y crea un acceso directo que parece inofensivo (usa un ejecutable legítimo de Asus (ISP.exe) que está en la carpeta de inicio. Pero detrás de eso hay un truco: se desencadena un "secuestro de DLL" que pone a correr un script en PowerShell para mantener la conexión con el servidor del atacante.
Pantalla: Captura una imagen del escritorio de la víctima usando PowerShell, la sube a Imgur (sí, el sitio de imágenes públicas) y luego le manda al atacante el enlace directo a esa imagen. Así puede ver exactamente qué estás haciendo sin que te des cuenta.
Anydesk: Instala de manera oculta la aplicación AnyDesk, una herramienta legítima de control remoto. Pero lo hace en silencio, sin mostrar ventanas ni iconos, para que el usuario no note nada raro.
Rutserv: Hace lo mismo, pero con RUT-Serv, otra app legítima de acceso remoto. Básicamente, el atacante se instala su propio "acceso remoto de confianza" sin necesidad de explotar vulnerabilidades.
Shell: Este comando lanza una consola de PowerShell en modo bucle. Primero muestra el mensaje “Shell iniciado...” y después empieza a revisar cada 5 segundos si hay nuevos comandos desde el servidor. Si los hay, los ejecuta automáticamente y envía de vuelta los resultados.
Av: Revisa qué software de seguridad o antivirus hay instalado, usando una consulta a través de WMI. Así, el atacante sabe qué defensas hay en la máquina y puede decidir cómo evitarlas o desactivarlas.
Y eso no es todo. Además de estos comandos, Skitnet también puede aprovechar un cargador hecho en .NET que le permite ejecutar scripts de PowerShell directamente en la memoria del sistema. Esto hace que sus acciones sean aún más difíciles de detectar y le da al atacante mucha flexibilidad para personalizar cada ataque según el objetivo.
Cargador .NET de Skitnet (Fuente: Prodaft)
Aunque muchos grupos de ransomware prefieren usar herramientas hechas a la medida para sus ataques (más difíciles de detectar y ajustadas a lo que necesitan), desarrollar ese tipo de software cuesta dinero, tiempo y gente con habilidades técnicas. Y la verdad es que no todos los grupos, sobre todo los más pequeños o nuevos, tienen esos recursos.
Ahí es donde entra algo como Skitnet: un malware ya listo, más barato, fácil de usar y rápido de poner en marcha. Además, como lo usan varios grupos distintos, hace más difícil saber quién está detrás de un ataque, lo que complica la atribución.
En este mundo del ransomware hay espacio para todo: desde herramientas súper personalizadas hasta combos que mezclan soluciones caseras con opciones como Skitnet. Pero lo que está claro es que las funciones que ofrece esta herramienta la están haciendo muy atractiva para muchos hackers, incluso para los más organizados.