Los equipos de Microsoft Defender Experts y Microsoft Defender Security Research publicaron un informe sobre una campaña activa de cryptojacking en la que los atacantes utilizan un vector de entrega fundamentalmente nuevo: las respuestas de chatbots de IA a las solicitudes de los usuarios sobre descarga de software. La campaña apunta de forma deliberada a sistemas con GPU de alto rendimiento para maximizar los beneficios del minado y, además de la motivación financiera, contempla la instalación de acceso remoto persistente mediante ScreenConnect, lo que abre la puerta al robo de datos, el movimiento lateral y el despliegue de ransomware. Microsoft afirmó que detectó y bloqueó la actividad asociada a esta campaña.
Evolución del vector de entrega: del SEO poisoning a los chatbots de IA
En un inicio la campaña se basaba en el envenenamiento clásico de resultados de búsqueda (SEO poisoning): los usuarios que buscaban utilidades de sistema populares — CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack y PDFgear — acababan en sitios maliciosos que imitaban las páginas de descarga de estos programas. La elección de estas utilidades no es casual: todas se asocian a usuarios que disponen de hardware potente, lo que incrementa el valor de cada dispositivo comprometido para el minado.
Sin embargo, en abril de 2026 Microsoft registró un cambio cualitativo. Los usuarios empezaron a llegar a los dominios maliciosos no a través de motores de búsqueda, sino mediante la interacción con herramientas basadas en modelos de lenguaje de gran tamaño (LLM). Según Microsoft, «los usuarios que pedían a chatbots de IA recomendaciones sobre dónde descargar software recibían enlaces a dominios controlados por los atacantes en las respuestas generadas». Microsoft precisa que esta conclusión se basa en patrones observados y en fuentes de datos correlacionadas, y concuerda con las técnicas emergentes de envenenamiento de resultados de búsqueda impulsados por IA, como una extensión del SEO poisoning tradicional más allá de los motores de búsqueda clásicos.
Cadena técnica del ataque
La infraestructura de la campaña incluye más de 150 dominios maliciosos. Cada sitio contiene un botón de descarga que obtiene un archivo ZIP desde un subdominio de gleeze[.]com, alojado en infraestructura asociada al proveedor de DNS dinámico Dynu.
DLL sideloading e instalación de ScreenConnect
El archivo ZIP descargado contiene un ejecutable legítimo y una biblioteca maliciosa autorun.dll, que se carga al iniciarse el binario principal (técnica DLL sideloading). Esta biblioteca instala una segunda DLL maliciosa — vcredist_x64.dll — mediante msiexec.exe. El archivo es un instalador de ScreenConnect empaquetado.
Tras la instalación, el cliente de ScreenConnect intenta conectarse continuamente al servidor de los atacantes en la dirección 193.42.11[.]108. A través de la sesión establecida se entrega el ejecutable SimpleRunPE.exe.
Persistencia y evasión de detección
SimpleRunPE.exe lleva a cabo un conjunto de acciones de persistencia y ocultación:
- Crea entradas en las claves de ejecución automática del registro (Registry Run keys) y tareas programadas
- Configura exclusiones en Microsoft Defender
- Realiza comprobaciones en busca de herramientas de análisis
- Aplica la técnica process hollowing para ejecutar el código de minado bajo un binario de confianza firmado por Microsoft
En algunos casos, en lugar de transferir archivos mediante ScreenConnect se utiliza un script de PowerShell que descarga el binario desde una unidad remota, lo guarda localmente con el nombre vlc.exe, crea una tarea programada para su ejecución y después se elimina a sí mismo.
Minería y autoprotección
El binario inyectado mediante process hollowing se comunica con el servidor de mando y control, envía información detallada del host, descarga el archivo adecuado con el minero y lo ejecuta. Se soportan tres programas de minado: gminer, lolMiner y SRBMiner-MULTI.
El malware se opone activamente a la detección: si detecta procesos de monitorización en ejecución — taskmgr.exe, processhacker.exe, processhacker2.exe, procexp.exe, procexp64.exe, systeminformer.exe — el minero se detiene de inmediato. Además, el binario vuelve a crear los artefactos de persistencia y reconfigura las exclusiones de Defender en caso de que se eliminen, garantizando una presencia estable en el sistema.
Indicadores de compromiso
- Dominio: gleeze[.]com (subdominios específicos de la campaña)
- Dirección IP C2: 193.42.11[.]108 (servidor ScreenConnect)
- Archivos: autorun.dll, vcredist_x64.dll, SimpleRunPE.exe
Contexto: serie de informes de Microsoft sobre ataques complejos
La publicación de este informe forma parte de una serie de investigaciones de Microsoft de mayo de 2026. El 22 de mayo la compañía describió un ataque de múltiples etapas en el que un atacante desconocido comprometió un firewall F5 BIG-IP, aprovechó relaciones de confianza para desplazarse a un host Linux interno y después atacó un servidor Atlassian Confluence vulnerable. En el transcurso de este incidente se emplearon ataques Kerberos relay y la explotación de CVE-2025-33073, y el atacante mantuvo el acceso mediante SSH con una cuenta con privilegios sin mecanismos evidentes de persistencia, lo que pone de relieve los riesgos asociados a los privilegios excesivos.
Antes, el 12 de mayo, Microsoft reveló un incidente en el que los atacantes abusaron de las relaciones de confianza con un proveedor de TI externo y de herramientas de gestión legítimas para organizar una campaña encubierta orientada al acceso a largo plazo y al robo de credenciales. A los tres informes los une una tendencia común: los atacantes explotan cada vez más la confianza — en los motores de búsqueda, en las herramientas de IA, en proveedores externos y en software legítimo.
Evaluación del impacto
La campaña supone un nivel de amenaza alto por varios motivos. En primer lugar, el público objetivo — propietarios de sistemas con GPU potentes — incluye a jugadores, especialistas en aprendizaje automático, editores de vídeo y diseñadores 3D. En segundo lugar, el cryptojacking es solo una forma inicial de monetización: el ScreenConnect instalado proporciona acceso remoto completo, que puede utilizarse para el robo de datos, el movimiento lateral en la red o el despliegue de ransomware. En tercer lugar, el uso de chatbots de IA como vector de entrega amplía la superficie de ataque a usuarios que evitan conscientemente los resultados de búsqueda no verificados, pero confían en las respuestas de los modelos de lenguaje.
Recomendaciones de seguridad
- Descarga de software solo desde sitios oficiales: no confiar en enlaces de descarga recibidos de chatbots de IA o desde los resultados de búsqueda; acceder directamente al sitio del desarrollador
- Monitorización de ScreenConnect: comprobar la existencia de instalaciones no autorizadas de ScreenConnect en la infraestructura; bloquear las conexiones a 193.42.11[.]108 y a los dominios gleeze[.]com
- Control de DLL sideloading: configurar políticas de Windows Defender Application Control (WDAC) o AppLocker para impedir la carga de DLL no firmadas desde directorios de usuario
- Auditoría de exclusiones de Defender: revisar periódicamente la lista de exclusiones de Microsoft Defender; el malware las añade y restablece de forma activa
- Monitorización de process hollowing: supervisar el comportamiento anómalo de procesos de confianza de Microsoft, especialmente actividad de red inusual o alta carga de la GPU
- Bloqueo de DNS dinámico: considerar el bloqueo o la monitorización reforzada del tráfico hacia proveedores de DNS dinámico (Dynu y similares) en el perímetro de la red
La conclusión clave de esta campaña es la necesidad de revisar el modelo de confianza hacia las fuentes de recomendaciones de descarga de software. Las organizaciones deberían comprobar de inmediato su infraestructura en busca de indicadores de compromiso (ScreenConnect, conexiones a gleeze[.]com y 193.42.11[.]108), implantar políticas de descarga de software exclusivamente desde repositorios aprobados e incluir las herramientas de IA en el modelo de amenazas de ingeniería social al mismo nivel que los correos de phishing y la publicidad maliciosa.
