La compañía de ciberseguridad F6 ha completado una investigación exhaustiva que resultó en el desmantelamiento de NyashTeam, una sofisticada organización criminal que operó durante tres años como proveedor de Malware-as-a-Service (MaaS). Esta operación culminó con el bloqueo de más de 110 dominios en la zona .ru y la neutralización significativa de una red que había comprometido usuarios en 50 países.
Evolución del Crimen Cibernético: El Modelo MaaS
NyashTeam representa la evolución contemporánea de las amenazas cibernéticas, estableciendo desde 2022 un ecosistema criminal completo bajo el modelo «Malware as a Service». Esta aproximación empresarial incluía desarrollo de software malicioso, servicios de hosting para infraestructura criminal y soporte técnico especializado a través de plugins personalizados y materiales educativos.
La organización desarrolló dos familias principales de malware: DCRat, un backdoor diseñado para el control remoto de dispositivos infectados, y WebRat, una herramienta especializada en el robo de datos de navegadores, incluyendo credenciales, cookies e información de autocompletado de formularios.
Estrategia de Precios y Métodos de Distribución
La efectividad de NyashTeam radicaba en su estrategia de precios accesibles. Una suscripción mensual a DCRat costaba únicamente 5$, mientras que WebRat se ofrecía por 15$ mensuales. Los servicios de web hosting tenían un precio de 13$ por dos meses, aceptando pagos tanto a través de sistemas de pago rusos como transferencias en criptomonedas.
Los clientes de la organización aprovechaban plataformas populares para la distribución del malware. En YouTube, los atacantes creaban cuentas falsas o comprometían perfiles existentes para publicar videos promocionando cheats de videojuegos y software pirata. En GitHub, el malware se camuflaba como herramientas legítimas en repositorios públicos.
Infraestructura y Alcance Operacional
Durante su período de actividad, la red criminal utilizó más de 350 dominios de segundo nivel. Los hackers empleaban nomenclaturas características que incluían variaciones de la palabra «nyash» y nombres de sus productos. El pico de registro de dominios maliciosos ocurrió entre diciembre de 2024 y febrero de 2025.
Una característica distintiva de la organización era su enfoque en audiencias de habla rusa. La mayoría de los ataques se dirigían contra usuarios rusos, incluyendo campañas de phishing específicamente diseñadas contra empresas de logística, petróleo y gas, geología y tecnologías de la información.
Operación de Neutralización y Bloqueos
La colaboración entre CERT-F6 y el Centro de Coordinación de Dominios .RU/.РФ permitió el bloqueo exitoso de más de 110 dominios en la zona rusa. Adicionalmente, cuatro dominios en otras zonas se encuentran en proceso de bloqueo. También se eliminaron el canal de Telegram que contenía el código fuente de WebRat y materiales educativos de los hackers.
Evaluación de Impacto y Efectividad
Según Vladislav Kugan, analista del departamento de investigación de ciberataques de Threat Intelligence de F6, el caso NyashTeam demuestra claramente la posibilidad de contrarrestar efectivamente a los operadores MaaS mediante el análisis y bloqueo de su infraestructura.
El desmantelamiento de NyashTeam subraya la importancia crítica de adoptar enfoques integrales en la lucha contra las amenazas cibernéticas modernas. La neutralización exitosa de proveedores MaaS requiere coordinación estrecha entre investigadores de seguridad, organismos reguladores y operadores de infraestructura de internet. Para los usuarios finales, este caso refuerza la necesidad de ejercer extrema precaución al descargar software de fuentes no oficiales y mantener soluciones de seguridad actualizadas para protegerse contra programas maliciosos sofisticados.
