Usuarios de Windows han comenzado a reportar una nueva campaña de malware basada en PowerShell que se aprovecha de un dominio fraudulento muy similar a la infraestructura del proyecto Microsoft Activation Scripts (MAS), también conocido como Massgrave. Una simple letra equivocada al introducir el comando de activación es suficiente para que se ejecute un script malicioso y se descargue el loader Cosmali, utilizado para desplegar criptomineros y troyanos de acceso remoto (RAT).
Ataque a través de typosquatting: el dominio falso get.activate[.]win
El incidente se detectó inicialmente en foros como Reddit, donde varios usuarios informaron de ventanas emergentes inusuales en sus equipos. Análisis posteriores vincularon estos avisos con un dominio get.activate[.]win, registrado por atacantes siguiendo la técnica de typosquatting: crear dominios casi idénticos a uno legítimo, confiando en que las víctimas cometan pequeñas opciones tipográficas al escribir la URL o el comando.
MAS es un proyecto de código abierto basado en scripts PowerShell diseñado para automatizar la activación de Windows y Office mediante técnicas como activación HWID, emulación KMS y otros métodos de bypass. Sus scripts se distribuyen principalmente desde GitHub y cuentan con una comunidad muy activa, lo que genera un alto nivel de confianza entre los usuarios. Los atacantes explotan precisamente esa confianza: registran un dominio casi idéntico y sustituyen el código legítimo por scripts maliciosos.
Cuando un usuario introduce manualmente el comando de activación, o lo copia desde una fuente no oficial, y se equivoca en una letra del dominio, en lugar del script de MAS ejecuta un PowerShell remoto controlado por los atacantes. Ese único error desencadena la descarga y ejecución de Cosmali Loader sin necesidad de ninguna interacción adicional por parte de la víctima.
Cosmali Loader: distribución de criptomineros y troyanos de acceso remoto
Según el análisis publicado por el investigador conocido como RussianPanda, la actividad anómala observada en PowerShell y los síntomas en los equipos comprometidos se corresponden con Cosmali Loader, un cargador de malware de código abierto previamente estudiado por especialistas de GDATA. Este loader se ha utilizado en cadenas de ataque para desplegar principalmente dos tipos de amenazas:
• Criptomineros: software que consume CPU y, en muchos casos, GPU para minar criptomonedas en beneficio de los atacantes, degradando notablemente el rendimiento del sistema y aumentando el consumo eléctrico.
• RAT XWorm u otros troyanos de acceso remoto: herramientas que otorgan al atacante control casi total sobre el equipo comprometido, incluyendo ejecución de comandos, robo de datos, instalación de más malware y movimiento lateral dentro de la red corporativa.
Un aspecto llamativo de esta campaña es la aparición, en algunos casos, de mensajes emergentes que explican la causa de la infección (la opresión en el dominio) y recomiendan revisar procesos de PowerShell o incluso reinstalar Windows. Diversos analistas consideran probable que estos avisos no procedan del autor original del malware, sino de un tercero que habría obtenido acceso al panel de mando y control (C2) de Cosmali Loader y estaría intentando advertir a las víctimas.
Activación no oficial de Windows: riesgo legal y vector de malware
Desde la perspectiva de Microsoft, herramientas como MAS se clasifican como métodos de activación no autorizados, ya que permiten utilizar Windows y Office sin una licencia válida, aprovechando emulación KMS y otros mecanismos no oficiales. Aunque plataformas como GitHub no siempre eliminan de inmediato estos proyectos, Microsoft y otros fabricantes están endureciendo progresivamente su postura frente a la activación irregular.
Más allá del aspecto legal, el impacto en ciberseguridad es doble. Por un lado, el usuario rompe la cadena de confianza con los canales oficiales. Por otro, pasa a depender de scripts, binarios y dominios que no están sometidos al mismo nivel de auditoría ni a los controles de calidad de los fabricantes. Este contexto facilita enormemente que actores maliciosos introduzcan carga dañina en la cadena de suministro, como se ha visto con el aprovechamiento del dominio fraudulento asociado a Cosmali Loader.
Cómo proteger sistemas Windows frente a Cosmali Loader y ataques similares
Para reducir la superficie de ataque, los especialistas recomiendan en primer lugar evitar herramientas de activación no oficiales y optar por licencias legítimas de Windows y Office. Además, es esencial verificar siempre la exactitud de los dominios y URLs desde donde se descargan scripts o binarios, priorizando repositorios oficiales y comprobando certificados y firmas digitales cuando sea posible.
En entornos corporativos, resulta clave aplicar controles sobre PowerShell: uso de Constrained Language Mode, políticas AppLocker o herramientas equivalentes para bloquear la ejecución de scripts no firmados y restringir el uso de PowerShell con privilegios de administrador. El monitoreo y registro detallado de comandos, combinado con soluciones EDR/XDR, permite detectar rápidamente patrones típicos de loaders como Cosmali (descargas en segundo plano, ejecución encadenada de scripts y procesos anómalos).
La campaña de Cosmali Loader demuestra que una simple opresión en un comando de PowerShell puede abrir la puerta a criptomineros, RAT y pérdida de datos. Adoptar buenas prácticas básicas —licencias legítimas, verificación rigurosa de dominios, endurecimiento de PowerShell y monitorización continua— es una de las formas más efectivas de elevar el nivel de seguridad en Windows y reducir la exposición frente a este tipo de cadenas de ataque basadas en typosquatting.
