Los especialistas en ciberseguridad de Beazley Security y SentinelOne han identificado una sofisticada campaña global de distribución del malware PXA Stealer, un infostealer desarrollado en Python que ha logrado comprometer más de 4,000 víctimas distribuidas en 62 países. Este descubrimiento revela la evolución continua de las amenazas cibernéticas y su capacidad para operar a escala internacional.
Alcance Internacional y Estadísticas Alarmantes
La investigación revela que más de 4,000 direcciones IP únicas han sido comprometidas por esta campaña maliciosa, afectando principalmente a usuarios en Corea del Sur, Estados Unidos, Países Bajos, Hungría y Austria. Los análisis forenses indican que detrás de esta operación se encuentran ciberdelincuentes de habla vietnamita, quienes han demostrado una capacidad técnica considerable.
Las cifras del robo de datos son especialmente preocupantes: los atacantes han conseguido acceder a más de 200,000 contraseñas únicas, información de cientos de tarjetas bancarias y aproximadamente 4 millones de cookies de navegadores web. Esta información representa un valor significativo en el mercado negro digital.
Evolución Técnica del Malware
Inicialmente detectado por Cisco Talos en noviembre de 2024, PXA Stealer comenzó como una amenaza dirigida específicamente a instituciones gubernamentales y educativas en Europa y Asia. Sin embargo, para 2025, los desarrolladores han implementado mejoras técnicas sustanciales que amplían su efectividad.
La versión actual incorpora técnicas avanzadas como DLL side-loading y esquemas de ejecución multi-etapa, metodologías que permiten al malware evadir sistemas de detección tradicionales y mantener persistencia en los sistemas infectados durante períodos prolongados.
Vectores de Infección Sofisticados
Los investigadores han documentado una nueva táctica de distribución implementada en abril de 2025. Los ciberdelincuentes distribuyen correos electrónicos de phishing que contienen archivos comprimidos con una versión legítima firmada digitalmente de Haihaisoft PDF Reader, acompañada de una biblioteca DLL maliciosa.
Una vez ejecutado, el componente malicioso inicia el proceso de infección mientras presenta notificaciones falsas sobre violaciones de derechos de autor, una técnica de ingeniería social diseñada para distraer a las víctimas mientras el malware se instala silenciosamente en segundo plano.
Capacidades Ampliadas de Extracción de Datos
La versión actualizada de PXA Stealer demuestra capacidades significativamente expandidas. El malware puede extraer cookies de navegadores basados en los motores Gecko y Chromium mediante inyección de DLL en procesos activos, evitando incluso las protecciones de App-Bound Encryption implementadas por los navegadores modernos.
Además de los objetivos tradicionales como contraseñas, datos de autocompletado y información de billeteras de criptomonedas, la versión actual también compromete clientes VPN, interfaces CLI de servicios en la nube y recursos de red conectados. Discord se encuentra entre las aplicaciones específicamente objetivo de este malware.
Infraestructura de Monetización a través de Telegram
Los operadores han establecido un sistema sofisticado de monetización utilizando Telegram como plataforma principal de comunicación. PXA Stealer emplea identificadores específicos de bots (TOKEN_BOT) para establecer conexiones con canales de Telegram, facilitando tanto la exfiltración de datos como las notificaciones operativas.
Los datos comprometidos son posteriormente comercializados en plataformas especializadas como Sherlock, donde otros ciberdelincuentes los adquieren para ejecutar ataques dirigidos contra billeteras de criptomonedas o infraestructuras organizacionales. Los operadores han implementado incluso modelos de suscripción premium para compradores frecuentes de información robada.
La utilización de la infraestructura legítima de Telegram permite a los ciberdelincuentes automatizar completamente el proceso de extracción y comercialización de datos, creando un ecosistema criminal altamente eficiente. Esta tendencia subraya la necesidad crítica de adoptar enfoques integrales de ciberseguridad que combinen medidas técnicas robustas con programas exhaustivos de concientización sobre ingeniería social y amenazas emergentes.
