Desde noviembre de 2024, se ha estado rastreando una nueva amenaza llamada QuirkyLoader, un cargador de malware que ha comenzado a ganar terreno en campañas de spam por correo electrónico. ¿Su función? Entregar todo tipo de malware en la segunda etapa del ataque, desde ladrones de información hasta peligrosos troyanos de acceso remoto (RATs).
Entre las familias de malware más comunes que se han distribuido con ayuda de QuirkyLoader se encuentran nombres bastante conocidos en el mundo del cibercrimen: Agent Tesla, AsyncRAT, Formbook, Masslogger, Remcos RAT, Rhadamanthys Stealer y Snake Keylogger. En otras palabras, este loader se está convirtiendo en una navaja suiza para atacantes que buscan comprometer sistemas de forma sigilosa y eficaz.
Técnicas de ataque usadas por QuirkyLoader: Correos maliciosos y carga lateral de DLLs
Esta nueva campaña de ataques aprovecha tanto correos electrónicos enviados desde proveedores legítimos como mensajes enviados desde servidores de correo autoalojados. Estos correos llegan con un archivo malicioso adjunto que incluye tres elementos: una DLL manipulada, una carga útil cifrada y un ejecutable aparentemente inofensivo.
Lo interesante (y preocupante) es la técnica utilizada: carga lateral de DLL. Básicamente, el atacante ejecuta un programa legítimo que, al iniciarse, también carga una DLL maliciosa sin levantar sospechas. Esta DLL, a su vez, se encarga de descifrar e inyectar la verdadera amenaza dentro de un proceso específico del sistema.
Para lograrlo, el malware usa una técnica conocida como process hollowing, o vaciado de procesos, que le permite esconderse dentro de procesos legítimos como AddInProcess32.exe, InstallUtil.exe o aspnet_wp.exe. Esto lo hace mucho más difícil de detectar para los antivirus tradicionales.
Este tipo de loader, basado en DLLs, ha estado activo en campañas discretas durante los últimos meses. En julio de 2025, se observaron al menos dos campañas dirigidas, una hacia México y otra hacia Taiwán.
En el caso de Taiwán, los atacantes apuntaron directamente a empleados de Nusoft Taiwan, una empresa dedicada a la investigación en ciberseguridad y redes. El objetivo era claro: infectar sus dispositivos con Snake Keylogger, un malware especializado en robar datos sensibles de navegadores web, registrar pulsaciones de teclado y copiar contenido del portapapeles.
En el caso de la campaña dirigida a México, todo apunta a que fue un ataque más aleatorio y generalizado, sin un blanco específico. Las cadenas de infección observadas en esta región se utilizaron principalmente para distribuir Remcos RAT y AsyncRAT, dos herramientas bastante conocidas para el control remoto de sistemas.
Un detalle curioso es que los atacantes reescriben constantemente el módulo de carga en .NET, pero con un giro interesante: utilizan compilación anticipada (AOT). ¿Qué significa esto? Básicamente, el código se convierte en código máquina nativo antes de ejecutarse, lo que hace que el archivo final se vea como si hubiera sido desarrollado en lenguajes como C o C++, complicando aún más su detección y análisis por parte de los sistemas de seguridad.
Podría interesarte leer: Nueva Variante de Remcos RAT Evade Antivirus con Técnica Fileless
Nuevas tendencias de phishing
Los atacantes no dejan de evolucionar, y ahora están apostando fuerte por una técnica de phishing que va en aumento: el quishing, o phishing con códigos QR maliciosos. Esta tendencia ha tomado fuerza recientemente, con tácticas cada vez más ingeniosas. Por ejemplo, algunos actores están dividiendo los códigos QR maliciosos en dos partes para evitar la detección, o los incrustan dentro de códigos legítimos enviados por correo electrónico a través de kits de phishing conocidos como Gabagool y Tycoon.
Este tipo de ataque es especialmente efectivo porque los códigos QR no pueden ser leídos por humanos. A simple vista, parecen inofensivos, pero al escanearlos pueden dirigir a los usuarios a sitios maliciosos. Lo peor es que suelen pasar por alto los filtros de seguridad tradicionales, como los escáneres de enlaces y los filtros de spam.
Además, muchos usuarios escanean estos códigos con sus teléfonos móviles, lo que los saca del entorno protegido de la red corporativa y los hace más vulnerables. En otras palabras, el atacante logra saltarse las barreras de seguridad del correo electrónico empresarial y llega directamente al dispositivo del usuario.
Pero eso no es todo. También se ha detectado un nuevo kit de phishing utilizado por un grupo conocido como PoisonSeed, cuyo objetivo es aún más ambicioso: robar credenciales y códigos 2FA (autenticación de dos factores) tanto de personas como de organizaciones. ¿La finalidad? Tomar el control de cuentas y usarlas para lanzar nuevas estafas, especialmente relacionadas con criptomonedas.
Este kit se aloja en dominios falsos que imitan páginas de inicio de sesión de plataformas conocidas, como Google, SendGrid o Mailchimp. Los atacantes envían correos de spear-phishing muy bien diseñados, que incluyen enlaces maliciosos que redirigen a los usuarios a estos portales falsos. Una vez que la víctima ingresa sus datos, ya es demasiado tarde: los atacantes obtienen acceso completo y pueden suplantar identidades para extender la campaña.
Uno de los detalles más llamativos de este kit de phishing es cómo valida las direcciones de correo en tiempo real antes de mostrar el formulario falso. Esta técnica, conocida como phishing validado con precisión, le permite al atacante comprobar discretamente si una dirección es válida mientras, al mismo tiempo, el usuario ve un falso desafío de Cloudflare Turnstile, como si fuera una verificación legítima de seguridad.
Si el correo electrónico pasa esa verificación silenciosa, entonces se despliega un formulario de inicio de sesión falso que imita perfectamente la plataforma real. El usuario, sin sospechar, introduce sus credenciales pensando que está en un sitio confiable, cuando en realidad está entregando su información directamente al atacante. Una vez ingresados los datos, estos se transmiten automáticamente al servicio malicioso, completando el robo.
Esta estrategia demuestra cuán sofisticado y convincente puede ser el phishing moderno, incluso para usuarios con experiencia.
¿Cómo protegerte de QuirkyLoader y las estafas con QR?
La buena noticia es que, aunque los atacantes cada vez usan técnicas más sofisticadas, también existen medidas prácticas y efectivas para reducir los riesgos. No se trata solo de instalar un antivirus, sino de combinar tecnología, buenas prácticas y educación digital.
1. Desconfía de los correos inesperados
Si recibes un correo con archivos adjuntos, enlaces o códigos QR que no esperabas, tómalo con cautela. Aunque parezca venir de un remitente legítimo, revisa bien la dirección de correo y busca señales sospechosas.
2. Ten cuidado con los códigos QR
Antes de escanear un código QR, pregúntate si tiene sentido. Si viene en un correo electrónico, un documento o un mensaje que no estabas esperando, mejor no lo abras. En dispositivos móviles, utiliza aplicaciones que permitan previsualizar el enlace antes de abrirlo.
3. Mantén tus sistemas y software siempre actualizados
Muchas infecciones se aprovechan de fallos en sistemas operativos, navegadores o programas que ya cuentan con parches de seguridad. Activa las actualizaciones automáticas siempre que sea posible.
4. Usa soluciones de seguridad avanzadas
Los antivirus básicos ya no son suficientes. Opta por soluciones EDR (detección y respuesta de endpoints) o plataformas que analicen comportamientos sospechosos, no solo firmas conocidas.
Aquí es donde herramientas como TecnetProtect marcan la diferencia. No solo combina protección contra malware y ransomware en tiempo real, sino que también integra copia de seguridad y recuperación rápida en caso de incidente. Esta doble capa te asegura que, aunque un ataque logre infiltrarse, siempre tendrás cómo restaurar tu información crítica sin perder productividad.
5. Activa la autenticación multifactor (MFA)
Incluso si tus credenciales caen en manos de un atacante, la MFA puede ser una capa extra de protección. Eso sí, recuerda que algunos kits de phishing también intentan robar códigos 2FA, así que mejor utiliza métodos más seguros como autenticadores físicos (llaves de seguridad FIDO2).
6. Segmenta tu red y haz copias de seguridad
En empresas, la segmentación de red evita que un malware se mueva libremente entre equipos. Además, contar con copias de seguridad seguras y desconectadas es vital para recuperarse en caso de ataque.
Con TecnetProtect, las copias de seguridad pueden automatizarse y almacenarse de forma cifrada tanto en la nube como en servidores locales, reduciendo el riesgo de pérdida de datos incluso frente a ransomware avanzado.
7. Capacitación y conciencia en ciberseguridad
El eslabón más débil sigue siendo el humano. Realizar capacitaciones periódicas sobre ciberseguridad ayuda a que los empleados (y también usuarios domésticos) aprendan a detectar intentos de phishing, enlaces maliciosos y archivos sospechosos.
En resumen, la prevención es la mejor defensa. Si combinas buenas prácticas digitales con soluciones completas como TecnetProtect, tendrás la tranquilidad de contar con protección en tiempo real, recuperación rápida de datos y copias de seguridad seguras para hacer frente a cualquier ataque, ya sea de malware como QuirkyLoader o de phishing con códigos QR.
