PipeMagic: Troyano en Windows Abre la Puerta al Ransomware RansomExx

Los ataques evolucionan tan rápido como las defensas. Un ejemplo claro es PipeMagic, un troyano que sigue activo y que ha demostrado ser una de las piezas clave en campañas de ransomware como RansomExx.

Este malware aprovecha vulnerabilidades de día cero en Windows —errores críticos que ni siquiera habían sido detectados antes— para colarse en sistemas corporativos y desplegar ataques devastadores.

Cómo funciona el ataque

PipeMagic se apoya en fallos de escalamiento de privilegios en Windows, como las vulnerabilidades CVE-2025-29824 y CVE-2025-24983, que ya han sido parchadas por Microsoft, pero que los atacantes explotaron antes de que existieran soluciones. Estas brechas afectan a componentes internos como el Common Log File System (CLFS) y el subsistema del kernel Win32, permitiendo que los atacantes obtengan acceso avanzado al sistema.

Una vez dentro, el malware se camufla en archivos aparentemente legítimos, como un cliente falso de ChatGPT o incluso un archivo que imita actualizaciones de Google Chrome. Desde ahí, abre una “puerta trasera” en tu sistema, capaz de ejecutar comandos remotos, inyectar más malware y moverse lateralmente dentro de la red para comprometer más equipos.

También podría interesante: Troyanos de Acceso Remoto: Software Malicioso (RAT)

Técnicas avanzadas de persistencia

PipeMagic no es un simple malware:

1. Crea canales de comunicación cifrados mediante tuberías con nombres aleatorios.

1. Carga módulos adicionales desde servidores en la nube de Azure.

1. Inyecta código malicioso en procesos legítimos como dllhost.exe para extraer datos sensibles de memoria (por ejemplo, credenciales de Windows).

Estas capacidades le permiten no solo sobrevivir dentro de la infraestructura comprometida, sino también mejorar su capacidad de ataque con cada nueva versión.

Quiénes han sido los objetivos

Las campañas más recientes han afectado a organizaciones de sectores tan diversos como:

1. TI y bienes raíces en EE. UU.

1. Finanzas en Venezuela

1. Retail en Arabia Saudita

1. Empresas de software en España

En cada caso, los atacantes han desplegado RansomExx, un ransomware conocido por cifrar grandes volúmenes de datos críticos y exigir rescates millonarios.

Conoce más: Prevención y Análisis del Troyano AsyncRAT

Por qué esto te debería importar

Lo más preocupante de PipeMagic es que sigue activo en 2025, con mejoras respecto a versiones anteriores. Los investigadores han detectado que sus operadores han perfeccionado técnicas para expandirse dentro de las redes y mantener acceso prolongado.

Esto significa que, incluso si un sistema parece “limpio”, el malware podría seguir oculto y listo para actuar.

Cómo proteger tu negocio

En TecnetOne creemos que la mejor defensa contra amenazas como PipeMagic es una combinación de prevención, monitoreo proactivo y respuesta rápida. Algunas recomendaciones clave son:

1. Mantén siempre Windows y tus aplicaciones actualizadas.

1. Revisa de dónde descargas software: no confíes en clientes falsos de aplicaciones conocidas.

1. Monitorea comportamientos sospechosos, como la creación de procesos ocultos o el uso inusual de memoria.

1. Implementa soluciones de seguridad avanzadas que detecten exploits de día cero y movimientos laterales en tu red.

1. Capacita a tu equipo para identificar correos, archivos y aplicaciones sospechosas.

PipeMagic es un recordatorio de que los atacantes no necesitan reinventar la rueda: les basta con explotar un fallo y mantenerse un paso por delante. En TecnetOne te ayudamos a fortalecer tu infraestructura para que, cuando surjan nuevas amenazas, tu negocio no quede expuesto.