XWorm: El Malware que Regresa con Ransomware y más de 35 Plugins
Adrian León 10/06/2025 Ciberseguridad, Malware, Ciberataque, Ransomware, Del Mito al Control
6 Minutos

Después de que XCoder, el desarrollador original de XWorm, abandonara el proyecto el año pasado, el temido malware ha vuelto a circular con fuerza. Nuevas versiones de esta puerta trasera (backdoor) están siendo distribuidas en campañas de phishing, aprovechando correos falsos y archivos adjuntos maliciosos para infectar a sus víctimas.

Las variantes más recientes (XWorm 6.0, 6.4 y 6.5) han sido adoptadas por distintos grupos de cibercriminales y llegan cargadas de complementos (plugins) que amplían enormemente sus capacidades. Gracias a estos módulos, los atacantes pueden robar datos de navegadores y aplicaciones, tomar el control remoto del sistema mediante acceso al escritorio o al shell, e incluso cifrar o descifrar archivos, integrando funciones propias de un ransomware.

Cabe recordar que la última versión creada directamente por XCoder fue la 5.6, la cual presentaba una vulnerabilidad de ejecución remota de código. Ese fallo ha sido corregido en las versiones actuales, lo que demuestra que los nuevos operadores han refinado y fortalecido el malware para hacerlo aún más peligroso.

 

XWorm: Un malware versátil que se volvió demasiado popular

 

Detectado por primera vez en 2022, XWorm rápidamente se ganó una reputación en el mundo del cibercrimen. Este troyano de acceso remoto (RAT) destacó por su arquitectura modular y su capacidad para adaptarse a distintos objetivos, convirtiéndose en una de las herramientas favoritas de los atacantes.

Su versatilidad es lo que lo hace tan peligroso. Los ciberdelincuentes suelen usarlo para robar información sensible, como contraseñas, billeteras de criptomonedas y datos financieros, además de registrar pulsaciones de teclado o copiar información del portapapeles. Pero eso no es todo: XWorm también puede lanzar ataques DDoS (denegación de servicio distribuida) y descargar otros tipos de malware en los sistemas comprometidos, sirviendo como punto de entrada para infecciones aún más graves.

Cuando XCoder, el creador original de XWorm, cerró sus cuentas de Telegram y dejó de publicar actualizaciones, la comunidad criminal no tardó en actuar. Varios grupos comenzaron a distribuir versiones crackeadas del malware, manteniendo vivo su legado y expandiendo su alcance.

De hecho, XWorm se volvió tan popular que incluso otros hackers lo usaron como señuelo para engañar a ciberdelincuentes menos experimentados. En una campaña particularmente curiosa, una puerta trasera disfrazada de XWorm consiguió infectar más de 18,000 equipos, principalmente en Rusia, Estados Unidos, India, Ucrania y Turquía.

 

XWorm se expande con nuevos métodos de distribución

 

La nueva versión de XWorm comenzó a llamar la atención cuando apareció anunciada en un foro de hackers, bajo el nombre de usuario XCoderTools. El supuesto desarrollador ofrecía acceso de por vida por 500 dólares, una estrategia que rápidamente despertó el interés de muchos actores delictivos en la red.

Aunque todavía no está claro si se trata del creador original de XWorm, esta cuenta aseguraba que la última variante había corregido una vulnerabilidad RCE (ejecución remota de código) presente en versiones anteriores e incorporaba múltiples mejoras y nuevas funciones.

Desde junio de 2024, investigadores de Trellix han observado un incremento notable en las muestras de XWorm detectadas en VirusTotal, una señal clara de que cada vez más ciberdelincuentes están adoptando esta herramienta en sus campañas.

En una de las campañas de phishing más recientes, el malware se distribuyó mediante un archivo JavaScript malicioso que ejecutaba un script de PowerShell. Esta técnica permitía burlar la protección antimalware integrada en Windows y desplegar XWorm sin levantar sospechas, demostrando lo sofisticadas que se han vuelto sus tácticas de distribución.

 

Xworm

Fuente de la cadena de infección de XWorm (Fuente:Trellix)

 

Según un informe publicado en septiembre, los investigadores de seguridad advirtieron que la cadena de infección de XWorm ha evolucionado significativamente. Ahora, el malware emplea técnicas más sofisticadas que van mucho más allá de los clásicos ataques por correo electrónico.

Si bien el phishing tradicional y los archivos .LNK siguen siendo una de las puertas de entrada más comunes, los atacantes detrás de XWorm han comenzado a utilizar archivos .exe con nombres aparentemente legítimos, disfrazándolos de aplicaciones conocidas, como Discord, para engañar a las víctimas y evitar sospechas.

Esta evolución representa “un cambio hacia la combinación de ingeniería social con vectores de ataque técnicos para lograr una mayor efectividad”. En otras palabras, los ciberdelincuentes ya no dependen solo de engañar al usuario, sino que también perfeccionan los métodos técnicos para maximizar sus posibilidades de éxito.

Además, otros equipos de investigación han identificado campañas que distribuyen XWorm usando señuelos relacionados con la inteligencia artificial (IA), aprovechando el auge del tema para atraer a más víctimas. También se han detectado ataques que emplean una versión modificada de la herramienta de acceso remoto ScreenConnect, adaptada para desplegar el malware sin ser detectada.

Por si fuera poco, un informe adicional detalla una sofisticada campaña de phishing en la que los atacantes lograron ocultar código shell dentro de un archivo de Microsoft Excel (.XLAM), un formato que normalmente se usa para complementos legítimos. Esta técnica permite ejecutar XWorm de forma silenciosa al abrir el documento, sin que la víctima sospeche lo que está ocurriendo en segundo plano.

 

Podría interesarte leer: SnakeStealer: El Infostealer que Domina el Robo de Contraseñas en 2025

 

Una amenaza de ransomware entre decenas de módulos

 

La nueva versión de XWorm ha alcanzado un nivel de complejidad alarmante. Actualmente cuenta con más de 35 módulos o complementos, cada uno diseñado para ampliar sus capacidades y hacerlo más peligroso. Gracias a esta estructura modular, el malware puede realizar desde tareas de robo de información confidencial hasta acciones más destructivas, como cifrar archivos y exigir un rescate.

Uno de los complementos más preocupantes es Ransomware.dll, encargado de ejecutar la función de cifrado. Este módulo permite a los atacantes bloquear los archivos del sistema, modificar el fondo de escritorio de la víctima y mostrar un mensaje con las instrucciones del rescate, incluyendo el monto a pagar, la dirección de la billetera y un correo de contacto para negociar la liberación de los datos.

Con estas nuevas capacidades, XWorm ya no es solo una herramienta de espionaje o robo de información: se ha convertido en una plataforma de ciberataque completa, capaz de adaptarse a distintos objetivos y maximizar el daño en cada infección.

 

xworm1

 

El proceso de cifrado de XWorm está diseñado para causar el máximo daño sin inutilizar por completo el sistema. En lugar de tocar archivos esenciales de Windows, el malware evita las carpetas del sistema y se enfoca en los datos personales del usuario, especialmente en las ubicaciones %USERPROFILE% y Documentos.

Una vez que los archivos son cifrados, el original se elimina y el malware añade la extensión .ENC a cada uno, señal de que los datos han sido bloqueados.

Después del ataque, la víctima encuentra en su escritorio un archivo HTML con las instrucciones del rescate. En ese documento se detallan los pasos para recuperar los archivos, junto con la dirección de la billetera Bitcoin (BTC) del atacante, un correo de contacto y el monto exigido para el descifrado.

En pocas palabras, XWorm ejecuta un ataque de ransomware clásico, pero con una precisión quirúrgica: apunta directamente a los archivos personales y deja muy claro que no se trata de una simple infección, sino de una extorsión cuidadosamente planificada.

 

xworm2

 

Conoce más sobre: Por qué Integrar Respaldo y Seguridad es Clave para tu Equipo de TI

 

XWorm comparte código con otro ransomware

 

Un reciente análisis de seguridad reveló que el módulo de ransomware de XWorm tiene similitudes en su código con NoCry, un ransomware basado en .NET que apareció por primera vez en 2021.

Ambos comparten el mismo algoritmo de cifrado, que utiliza AES en modo CBC con bloques de 4096 bytes, además de emplear un método idéntico para generar el vector de inicialización (IV) y las claves de cifrado y descifrado. Incluso realizan las mismas verificaciones anti-análisis, diseñadas para detectar si el malware está siendo ejecutado en entornos de prueba o sandbox.

Pero el módulo de ransomware es solo una parte del rompecabezas. Los investigadores también examinaron otros 14 complementos de XWorm, cada uno con una función específica que amplía su capacidad de ataque:

 

  1. RemoteDesktop.dll: crea una sesión remota para que el atacante pueda controlar el equipo infectado.

  2. WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll y SystemCheck.Merged.dll: se enfocan en robar datos personales y credenciales del usuario.

  3. FileManager.dll: ofrece acceso total al sistema de archivos, permitiendo copiar, mover o eliminar documentos.

  4. Shell.dll: ejecuta comandos del sistema enviados por el atacante a través de un proceso cmd.exe oculto.

  5. Informations.dll: recopila información detallada sobre el hardware y software del sistema comprometido.

  6. Webcam.dll: activa la cámara del dispositivo para grabar a la víctima o confirmar que se trata de una máquina real.

  7. TCPConnections.dll, ActiveWindows.dll y StartupManager.dll: envían al servidor de control (C2) listas de conexiones activas, ventanas abiertas y programas de inicio.

 

Con solo los módulos de robo de información, un operador de XWorm puede extraer credenciales de más de 35 aplicaciones, incluyendo navegadores web, clientes de correo electrónico, programas de mensajería, clientes FTP y hasta billeteras de criptomonedas.

 

¿Cómo pueden las empresas protegerse de XWorm y sus módulos?

 

Frente a amenazas tan avanzadas y cambiantes como XWorm, no basta con una única herramienta de defensa. En TecnetOne recomendamos adoptar una estrategia de seguridad por capas, capaz de prevenir, detectar y responder de forma rápida ante cualquier incidente.

 

  1. Soluciones EDR (Endpoint Detection and Response): permiten detectar comportamientos anómalos relacionados con los módulos de XWorm y contener la amenaza antes de que se propague.

  2. Protección proactiva de correo y navegación web: ayuda a bloquear archivos maliciosos y enlaces de phishing, reduciendo drásticamente el riesgo de infección inicial.

  3. Monitoreo de red en tiempo real: detecta y bloquea comunicaciones sospechosas con servidores de comando y control (C2), evitando que el malware descargue nuevos módulos o robe información.

 

Y si la prevención no es suficiente, una respuesta a incidentes rápida y coordinada puede marcar la diferencia entre una intrusión menor y una crisis de gran escala.

En estos casos, servicios especializados como la Respuesta a Incidentes de TecnetOne brindan un soporte integral ante ciberataques, ayudando a las empresas a contener la amenaza, eliminar el malware y restaurar los sistemas de forma segura.

El equipo de especialistas de TecnetOne también ofrece análisis forense, evaluación del impacto y medidas de remediación, asegurando que las vulnerabilidades explotadas sean corregidas y que la empresa recupere la operatividad lo antes posible.

Adoptar un enfoque preventivo, combinado con un plan de respuesta a incidentes respaldado por expertos, es clave para enfrentar amenazas como XWorm y proteger los activos digitales más importantes de tu empresa.

 

Servicio de Respuesta a Incidentes

Tag:

Ciberseguridad Malware Ciberataque Ransomware Del Mito al Control

LinkedIn Demanda a ProAPIs por Usar 1M de Cuentas Falsas

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, Del Mito al Control, Ciberespionaje
Scarlet Mendoza 10/06/2025

El Papel Oculto de BIETA y CIII en Operaciones Cibernéticas del MSS

En TecnetOne te contamos los últimos hallazgos sobre cómo dos empresas chinas —el Instituto de

Leer más
Ciberseguridad, Malware, Ciberataque, Del Mito al Control
Alexander Chapellin 10/03/2025

Nuevo Malware Klopatra en Android usa VNC para Controlar Dispositivos

Un nuevo troyano bancario llamado Klopatra está dando de qué hablar en el mundo Android. Se hace

Leer más
Ciberseguridad, DRP Backups, Del Mito al Control
Zoilijee Quero 10/03/2025

El Coste Oculto del Downtime y Cómo Evitarlo

Si diriges un negocio, sabes que hay dos palabras que te quitan el sueño: parada e imprevistos. El

Leer más