Recientemente, una sofisticada campaña cibercriminal ha emergido, utilizando un ladrón de información basado en Python conocido como PXA Stealer para llevar a cabo una de las operaciones de robo de datos más extensas de los últimos meses.
Descripción y Alcance de la Campaña
El malware, que se detectó por primera vez a finales de 2024, ha evolucionado a una operación multifase muy difícil de detectar que ha comprometido a más de 4,000 víctimas en 62 países. Entre los datos robados se incluyen más de 200,000 contraseñas, cientos de registros de tarjetas de crédito y más de 4 millones de cookies de navegador.
Esta operación representa un avance significativo en las tácticas de los ciberdelincuentes. La campaña integra técnicas avanzadas de evasión, como señuelos no maliciosos y un robusto sistema de comando y control diseñado para frustrar el análisis de seguridad y retrasar la detección. Los responsables han demostrado una notable adaptabilidad, mejorando sus métodos de distribución y evasión a lo largo de 2025. Han adoptado nuevas técnicas de descarga, utilizando software legítimo firmado (como Haihaisoft PDF Reader y Microsoft Word 2013), así como archivos DLL maliciosos ocultos y archivos incrustados disfrazados. La distribución de víctimas es global, con Corea del Sur, Estados Unidos, Países Bajos, Hungría y Austria como las regiones más afectadas.
Ecosistema de Monetización y Mecanismo de Infección
Los analistas de SentinelLABS descubrieron que la operación es orquestada por grupos de cibercriminales de habla vietnamita, quienes han desarrollado un sofisticado ecosistema por suscripción para la reventa de credenciales robadas a través de la API de Telegram.
Lo que distingue a esta campaña es su modelo de negocio integral. Los datos robados se suben a plataformas criminales como Sherlock, donde se normalizan, categorizan y se ofrecen para la venta. Este enfoque industrializado permite a otros ciberdelincuentes comprar credenciales para robar criptomonedas o infiltrarse en organizaciones, creando una economía criminal autosostenible.
El PXA Stealer utiliza una cadena de infección particularmente compleja, que comienza con correos de phishing que contienen archivos comprimidos de gran tamaño. En las variantes más recientes, observadas en julio de 2025, las víctimas reciben un archivo que contiene un ejecutable legítimo y firmado de Microsoft Word 2013 junto con una DLL maliciosa (msvcr100.dll). El ataque aprovecha el orden de búsqueda de DLL de Windows, que prioriza el directorio local, para cargar la DLL maliciosa.
Una vez ejecutada, la DLL inicia un proceso de múltiples etapas diseñado para evadir la detección. Primero, muestra un documento señuelo benigno (Tax-Invoice-EV.docx) para mantener la ilusión de legitimidad. Luego, ejecuta una serie de comandos codificados para decodificar y extraer archivos maliciosos utilizando programas legítimos como certutil y un ejecutable de WinRAR disfrazado.
