Este mes, ha comenzado a circular un nuevo tipo de malware que ha llamado la atención de la comunidad de ciberseguridad por su peligrosidad y sigilo: Raven Stealer. Este software malicioso no solo es capaz de robar información confidencial de los usuarios, sino que también se propaga de forma muy discreta, aprovechando herramientas populares como Telegram para distribuirse sin levantar sospechas.
Lo preocupante es que Raven Stealer no está circulando por rincones oscuros de la web: su código ha sido detectado incluso en plataformas públicas como GitHub, desde mediados de julio, lo que indica una campaña activa y bien organizada. Todo apunta a que detrás de su desarrollo está un grupo de ciberdelincuentes conocido como ZeroTrace Team, lo que eleva aún más el nivel de amenaza.
Raven Stealer Malware: Autoría, estructura del código y métodos de ataque
Durante el análisis del código de Raven Stealer, los investigadores de seguridad encontraron un archivo llamado RavenStealer.cpp que resultó ser clave para identificar al grupo detrás del malware. Sorprendentemente, el archivo incluía incluso un nombre y una dirección de correo en Hotmail, lo que podría indicar que los atacantes no solo querían operar en las sombras, sino también ganar cierta visibilidad dentro del entorno cibercriminal.
Este grupo no es precisamente nuevo. Su canal en Telegram fue creado el pasado 30 de abril y desde entonces ha estado bastante activo, promocionando herramientas bajo el nombre de ZeroTrace, incluyendo utilidades de criptografía y diferentes scripts de código abierto diseñados para el robo de datos.
En el caso específico de Raven Stealer, el malware está claramente enfocado en sistemas Windows y tiene como objetivo principal a quienes usan navegadores basados en Chromium, como Google Chrome, Microsoft Edge o Brave.
Lo preocupante es que la forma en que está construido demuestra un nivel técnico avanzado: está programado en Delphi y C++, lo que lo hace mucho más sigiloso y eficiente que otras amenazas similares escritas en lenguajes más comunes como Python. Gracias a esto, puede ejecutarse sin levantar sospechas y exfiltrar datos en tiempo real a través de Telegram.
Podría interesarte: Nuevo Malware Koske en Linux se Esconde en Imágenes de Pandas
¿Cómo Raven Stealer evita ser detectado en Windows y navegadores?
Una de las razones por las que Raven Stealer resulta tan difícil de detectar es su capacidad para operar en segundo plano sin levantar sospechas. El malware puede ocultar por completo la ventana de PowerShell, mientras ejecuta comandos que desactivan la barra de tareas y bloquean atajos comunes como Alt+Tab, dificultando así que el usuario note que algo extraño está ocurriendo en su equipo.
A partir de ahí, el ataque se vuelve aún más sofisticado. Raven Stealer esquiva las medidas de seguridad integradas en navegadores basados en Chromium, como Google Chrome, Edge o Brave, y accede directamente a datos altamente sensibles: contraseñas guardadas, cookies, información de pago e incluso sesiones activas. Todo esto lo hace sin modificar archivos en el disco, lo que le permite pasar desapercibido ante muchos antivirus tradicionales.
Además, se ha detectado que el malware tiene un alcance más amplio de lo que parecía al principio. Es capaz de extraer información de carteras de criptomonedas, plataformas de videojuegos, clientes VPN y servicios de mensajería, recopilando todo en una carpeta oculta dentro del directorio AppData del usuario, una ubicación comúnmente usada por aplicaciones legítimas, lo que lo hace aún más difícil de identificar.
Para evitar ser detectado, Raven Stealer lleva su sigilo un paso más allá: comprime toda la información robada en un archivo ZIP, que guarda en las carpetas temporales del sistema. Desde ahí, envía los datos al atacante utilizando directamente la API de Telegram, lo que le permite exfiltrar información sin necesidad de servidores externos que puedan levantar sospechas.
Según los expertos que han analizado su comportamiento, este malware tiene un diseño modular, lo que facilita su actualización o modificación para adaptarse a nuevos objetivos. Además, está empaquetado con UPX, una herramienta de compresión de ejecutables de código abierto que reduce el tamaño del archivo y complica su análisis por parte de los antivirus.
Y Raven Stealer no está solo. El mismo grupo de atacantes también ha desarrollado otra amenaza llamada Octalyn Stealer, con una estructura técnica muy parecida y que también se distribuye a través de Telegram. Esto sugiere que no se trata de un ataque aislado, sino de una operación más amplia.
Todo apunta a que el grupo conocido como ZeroTrace sigue activo y representa una amenaza persistente. Dado su nivel de sofisticación, no se descarta que estén desarrollando o distribuyendo otras herramientas de robo de datos que aún no han sido detectadas.
Conclusión: ¿Cómo protegerte de Raven Stealer y otras amenazas similares?
El caso de Raven Stealer deja claro que los ciberataques evolucionan constantemente y que los atacantes están utilizando métodos cada vez más sofisticados y difíciles de detectar. El uso de Telegram como canal de exfiltración, su diseño modular, y su capacidad para robar datos sin dejar rastros visibles en el sistema lo convierten en una amenaza real para cualquier usuario de Windows.
Aunque no podemos evitar completamente que existan este tipo de amenazas, sí podemos reducir en gran medida el riesgo de infección siguiendo algunas buenas prácticas de seguridad digital:
Recomendaciones clave para mantenerte protegido:
-
Evita descargar archivos desde fuentes no confiables, especialmente desde canales de Telegram, foros desconocidos o enlaces sospechosos.
-
Instala un buen antivirus o solución antimalware, y mantenla siempre actualizada. Asegúrate de que incluya protección en tiempo real.
-
Mantén tu sistema operativo y aplicaciones actualizadas, incluyendo navegadores, extensiones y clientes de mensajería.
-
Activa la autenticación en dos pasos (2FA) en todas tus cuentas importantes. Esto añade una capa extra de protección, incluso si tus credenciales son robadas.
-
Revisa regularmente las carpetas temporales y AppData, donde suelen esconderse muchos malware como Raven Stealer.
-
Desconfía de “herramientas gratuitas” o “cracks” compartidos por Telegram o GitHub, incluso si parecen legítimos.
-
Haz copias de seguridad de tu información importante. En caso de infección, esto puede ayudarte a recuperar tus datos sin ceder ante los atacantes.
Consejo de TecnetOne: Con información, precaución y herramientas adecuadas, es posible mantenerse un paso adelante de los ciberdelincuentes. La ciberseguridad no depende solo del software: empieza con nuestras decisiones diarias frente a la pantalla.