Mastodon Mastodon Mastodon Mastodon

Análisis de Microsoft sobre el backdoor destructivo GigaWiper

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Microsoft publicó un análisis detallado del backdoor destructivo GigaWiper, un malware para Windows escrito en Go que unifica tres herramientas de destrucción de datos antes independientes en una única plataforma modular. El backdoor no explota una vulnerabilidad concreta, sino que se despliega después de que el atacante ya haya obtenido acceso al sistema. El operador elige el modo de destrucción mediante comandos numerados: borrado completo del disco, reescritura multipaso de la partición del sistema o pseudo-cifrado de archivos sin conservar la clave. Dado que no existe un parche —no es una vulnerabilidad, sino una herramienta de post-explotación—, las únicas defensas reales siguen siendo la detección temprana y copias de seguridad limpias fuera de línea.

Arquitectura de destrucción: tres módulos — un mismo resultado

GigaWiper proporciona al operador tres módulos destructivos intercambiables, cada uno de los cuales hace imposible la recuperación de datos sin copias de seguridad:

  • Wiper de disco físico: reescribe el contenido del disco a nivel de acceso raw, destruye la tabla de particiones e inicia un reinicio. El sistema de archivos no se elimina archivo por archivo: se destruye la estructura completa del disco.
  • Pseudo-ransomware basado en Crucio: cifra archivos, añade la extensión .candy y cambia el fondo de escritorio por una imagen de advertencia. Según Microsoft, la clave de cifrado no se conserva: no hay nota de rescate ni posibilidad de descifrado. Es destrucción disfrazada de ransomware.
  • Wiper de la partición del sistema: reescritura multipaso de la partición de Windows con distintos patrones de datos. Microsoft lo identifica como una versión reescrita en Go de la herramienta rastreada bajo el nombre FlockWiper.

La táctica de disfrazar la destrucción como ransomware no es nueva: en 2017 NotPetya empleó el mismo enfoque. El disfraz da tiempo al atacante: el incidente parece inicialmente un cifrado accidental con posibilidad de recuperación, y no una destrucción irreversible.

Espionaje y control remoto

La destrucción es solo una parte de la funcionalidad. Según Microsoft, el mismo backdoor proporciona monitorización completa del sistema infectado:

  • Capturas de pantalla de todos los monitores y grabación de pantalla en tiempo real
  • Sesión VNC oculta con capacidad de controlar ratón y teclado
  • Recopilación de información del sistema, gestión de procesos y servicios
  • Edición del registro y limpieza de los registros de eventos de Windows

En las muestras analizadas, Microsoft detectó stubs de comandos inactivos, incluido un módulo de keylogger y wipers adicionales, lo que indica que la plataforma sigue en desarrollo.

Encubrimiento y comunicaciones

GigaWiper utiliza una ofuscación en varias capas. Para mantenerse en el sistema crea una tarea programada llamada OneDrive Update con un intervalo de ejecución de un minuto. La configuración se almacena en la clave de registro HKCU\SOFTWARE\OneDrive\Environment. Al abrir el canal de control remoto, el backdoor crea una regla de firewall con el nombre de un componente legítimo de Windows: Microsoft.Windows.CloudExperienceHost.

Merece especial atención la infraestructura de mando y control. En lugar de las típicas peticiones HTTP a servidores dedicados, GigaWiper emplea herramientas empresariales legítimas: RabbitMQ para recibir tareas, Redis para enviar resultados y MinIO para la exfiltración de datos. En organizaciones donde estos servicios ya se utilizan, este tráfico parece normal.

Atribución y relación con campañas conocidas

Microsoft no menciona un país concreto en su informe. Sin embargo, la compañía rastrea el código del pseudo-ransomware hasta la herramienta Crucio, y el wiper multipaso hasta FlockWiper, y evalúa que los tres componentes fueron creados por un mismo desarrollador. En ambas herramientas se ha encontrado la etiqueta recurrente «GRAT», tanto en las rutas de depuración de FlockWiper como en los nombres de funciones de GigaWiper.

Crucio aparece en el advisory de CISA de diciembre de 2023, dedicado al grupo CyberAv3ngers, al que la agencia vincula con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Precisamente este grupo atacó en 2023 infraestructuras de agua y energía en Estados Unidos, Israel, Reino Unido e Irlanda, obteniendo acceso a controladores industriales a través de internet. La muestra de Crucio citada por Microsoft lleva el mismo identificador que el mencionado en el advisory de CISA.

La empresa Binary Defense describió el mismo malware bajo el nombre BLUERABBIT. Según la fuente original, ambos informes contienen los mismos cuatro hashes de archivos y las mismas direcciones de servidores de mando. Binary Defense, citando a Google Threat Intelligence Group, vincula de forma tentativa el malware con un grupo de origen iraní que tiene como objetivo organizaciones israelíes. Es importante subrayar que: Microsoft no ha confirmado la atribución directa de GigaWiper a un actor estatal concreto, y la conexión a través de la base de código de Crucio es una prueba indirecta, no una atribución operativa.

Las divergencias en la línea temporal entre las fuentes también merecen atención: Microsoft fecha la actividad destructiva en octubre de 2025, mientras que Binary Defense detectó por primera vez los mismos archivos en marzo de 2026. Estos datos no tienen por qué ser contradictorios, pero pueden indicar distintas fases de la campaña.

El contexto va más allá de una sola herramienta. Unit 42 de Palo Alto Networks registra un aumento de la actividad de wipers de origen iraní contra objetivos israelíes a lo largo de 2025–2026, incluido por parte del grupo independiente Handala Hack.

Indicadores de compromiso

Direcciones de servidores de mando conocidas:

  • 185.182.193[.]21
  • 212.8.248[.]104

La lista completa de hashes de archivos y nombres de detección está disponible en el informe de Microsoft.

Recomendaciones de detección y protección

Señales clave para la detección:

  • Tarea programada OneDrive Update con un intervalo de ejecución de un minuto
  • Tráfico RabbitMQ o Redis desde estaciones de trabajo, y no desde servidores
  • Uso de los comandos takeown e icacls para tomar control de archivos de arranque (bootmgr, ntoskrnl.exe) fuera de las ventanas de mantenimiento planificado

Medidas de protección recomendadas por Microsoft:

  • Activar la protección frente a desactivaciones no autorizadas del antivirus (tamper protection)
  • Bloquear las direcciones de servidores de mando indicadas a nivel de perímetro de red
  • Poner las herramientas de detección y respuesta en endpoints en modo de bloqueo
  • Activar la protección en la nube y la corrección automática
  • Garantizar la existencia y el testeo regular de copias de seguridad fuera de línea: para los tres módulos destructivos es la única vía de recuperación

GigaWiper demuestra un cambio fundamental en la arquitectura del arsenal destructivo: un único implante con un conjunto modular de capacidades —desde el espionaje hasta la destrucción irreversible— priva a los defensores de la posibilidad de determinar la intención del atacante por el tipo de malware detectado. La decisión sobre la destrucción la toma el operador después de la compromisión. La acción prioritaria es revisar la infraestructura en busca de los indicadores enumerados, asegurarse de que las copias de seguridad fuera de línea funcionen correctamente y configurar la monitorización de tráfico anómalo RabbitMQ y Redis desde estaciones de trabajo.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.