Investigadores de la empresa de seguridad Doctor Web han identificado un nuevo troyano para Windows denominado Trojan.ChimeraWire, diseñado no para cifrar archivos ni robar credenciales, sino para simular de forma extremadamente realista el comportamiento de usuarios en navegadores web. Su objetivo principal es manipular el posicionamiento en buscadores y el tráfico hacia sitios específicos, permaneciendo al mismo tiempo casi invisible para el usuario y para muchos controles tradicionales.
Arquitectura técnica de ChimeraWire y uso de Google Chrome portátil
ChimeraWire se apoya en proyectos legítimos de código abierto, como zlsgo y Rod, empleados habitualmente para automatizar pruebas y tareas en navegadores. Los atacantes han reutilizado estas herramientas para construir un módulo de control remoto del navegador completamente integrado en su malware.
El troyano se dirige a sistemas Windows y utiliza una versión portátil de Google Chrome. Descarga desde un servidor controlado por los atacantes un archivo chrome-win.zip (en el mismo servidor existen compilaciones para Linux y macOS) y ejecuta Chrome en modo de depuración remota, sin mostrar ventana alguna. El control se realiza mediante una conexión WebSocket al puerto de depuración, lo que permite ejecutar secuencias complejas de clics, navegación y relleno de formularios de forma totalmente automática.
Para incrementar su eficacia, ChimeraWire intenta instalar extensiones como NopeCHA y Buster, diseñadas para resolver CAPTCHA de manera automática. Con ello reduce los obstáculos típicos que bloquean bots y hace que su tráfico se aproxime aún más al de un usuario humano real.
Cadenas de infección: DLL hijacking, Python y abuso de OneDrive
Primera cadena: Python, ISCSIEXE.dll y OneDrivePatcher
Una de las rutas de entrada observadas comienza con el descargador Trojan.DownLoader48.54600, que integra técnicas anti-análisis para detectar máquinas virtuales y depuradores. Si el entorno parece legítimo, descarga un archivo python3.zip con un script Python.Downloader.208 y una biblioteca maliciosa ISCSIEXE.dll (Trojan.Starter.8377).
El script comprueba primero los privilegios. Si no dispone de derechos de administrador, explota la técnica DLL Search Order Hijacking, copiando la DLL maliciosa en WindowsApps, creando un script VBS y ejecutando iscsicpl.exe. Esta utilidad del sistema carga la DLL manipulada, que relanza el script de Python con privilegios elevados.
Una vez con permisos de administrador, el script descarga onedrive.zip, que contiene un ejecutable legítimo y firmado, OneDrivePatcher.exe, y la DLL maliciosa UpdateRingSettings.dll (Trojan.DownLoader48.54318). De nuevo, mediante DLL hijacking, OneDrivePatcher carga la DLL, que finalmente descarga, descifra y desempaqueta la carga útil principal: Trojan.ChimeraWire, comprimido junto a shellcode en un contenedor ZLIB.
Segunda cadena: Masquerade PEB, ATL.dll, WMI y CMSTPLUA
La segunda cadena se inicia con Trojan.DownLoader48.61444. Si el proceso no se ejecuta con privilegios de administrador, se aplica la técnica Masquerade PEB para hacerse pasar por explorer.exe. A continuación, el troyano modifica una copia de la biblioteca del sistema ATL.dll, inyectando código y la ruta del propio binario, y registra dicha DLL alterada en el entorno WMI (Windows Management Instrumentation).
Para elevar privilegios, el malware abusa de la interfaz COM CMSTPLUA, asociada a antiguos componentes de gestión de conexiones. Tras lograr la escalada, la ATL.dll modificada se copia a %SystemRoot%\System32\wbem. Cuando se ejecuta WmiMgmt.msc a través de mmc.exe, el sistema carga la DLL manipulada (nuevo caso de DLL Search Order Hijacking), relanzando Trojan.DownLoader48.61444 ya con permisos de administrador.
Con esos permisos, el descargador ejecuta scripts de PowerShell que obtienen dos archivos: one.zip con OneDrivePatcher.exe y UpdateRingSettings.dll (repitiendo la cadena anterior) y two.zip con el script Python.Downloader.208 (update.py) y un intérprete renombrado como Guardian.exe. Se crean tareas programadas para ambos componentes, asegurando persistencia y reinfección.
Comportamiento de ChimeraWire: clicker de navegador avanzado para Google y Bing
Una vez implantado, ChimeraWire se conecta a su servidor de mando y control para solicitar tareas. La respuesta contiene una configuración JSON cifrada con AES‑GCM y codificada en base64. En dicha configuración se definen la motores de búsqueda objetivo (Google o Bing), las palabras clave y dominios a promocionar, los límites de clics, profundidad de navegación, tiempos de espera entre acciones y modelos probabilísticos de comportamiento (por ejemplo, distribuciones «1:90, 2:10» sobre cuántos enlaces pulsar).
El troyano lanza búsquedas, analiza la página de resultados y extrae todos los enlaces de la estructura HTML. A continuación los baraja aleatoriamente para no seguir el orden natural de la página y dificultar la detección por sistemas anti‑bot que monitorizan patrones de clics secuenciales.
Si encuentra suficientes enlaces que coinciden con los dominios o patrones especificados, los ordena por relevancia y visita los más importantes. Si apenas hay coincidencias, aplica el modelo probabilístico para decidir cuántos enlaces, en qué orden y con qué pausas visitar, pudiendo abrir nuevas pestañas, regresar a la página de resultados o seguir navegando dentro de un mismo dominio hasta alcanzar el límite de clics configurado.
Impacto en negocios digitales y medidas de mitigación recomendadas
En la fase actual, ChimeraWire actúa principalmente como «browser clicker» para fraude SEO y click fraud, inflando métricas de tráfico y posicionamiento. Sin embargo, su arquitectura lo convierte en una plataforma genérica de automatización de navegador, apta también para el relleno masivo de formularios, creación automática de cuentas, manipulación de estadísticas en plataformas online y recolección de datos (extracción de correos, teléfonos o capturas de pantalla de sitios web visitados). En un contexto donde la industria publicitaria estima pérdidas de decenas de miles de millones de dólares anuales por fraude digital, herramientas de este tipo agravan de forma significativa el problema.
Para reducir el riesgo, se recomienda a las organizaciones reforzar el control de integridad de bibliotecas del sistema (ATL.dll, DLL de WMI, etc.), monitorizar actividad anómala del Programador de tareas y PowerShell, y restringir el uso de intérpretes genéricos (Python, consolas embebidas) en equipos de usuario. Es clave mantener Windows y componentes COM actualizados para limitar ataques de DLL Search Order Hijacking y abuso de CMSTPLUA, así como desplegar soluciones modernas EDR/XDR y supervisión de red capaces de detectar descargas inusuales de navegadores portátiles y extensiones.
Ante amenazas como ChimeraWire, combinar visibilidad en endpoints, análisis de comportamiento y políticas estrictas de ejecución de software es esencial para proteger tanto la infraestructura como la integridad de las métricas de negocio en el entorno digital.
