A finales de 2025, analistas de seguridad de la compañía F6 identificaron una muestra de malware que, a primera vista, se comportaba como un ransomware clásico. Sin embargo, el análisis profundo reveló un matiz clave: no se cifraba ningún archivo. En su lugar, el código malicioso funcionaba como un winlocker, es decir, un programa que bloquea el acceso a Windows y simula las consecuencias de un ataque de ransomware.
Del ransomware al winlocker: por qué vuelve una técnica “antigua”
Los bloqueadores de pantalla (winlockers) fueron muy comunes hasta aproximadamente 2015, cuando fueron desplazados por el ransomware de cifrado, mucho más rentable para los atacantes al afectar directamente a los datos. No obstante, estos winlockers siguen siendo atractivos para cierto perfil de ciberdelincuentes: son más simples de desarrollar, requieren menos infraestructura y se dirigen principalmente a usuarios domésticos y pequeñas empresas, donde la conciencia de ciberseguridad suele ser más baja.
La muestra analizada se presentaba como “ransomware Legion”. En la nota de rescate se afirmaba que “todos los discos y archivos han sido cifrados por el equipo Legion”, pero en realidad el malware solo bloquea la interfaz del sistema operativo e intercepta combinaciones de teclas, imitando un cifrado que nunca llega a producirse.
Vínculos entre el winlocker Legion y la banda NyashTeam
El análisis de las notas de rescate y de los artefactos internos del binario permitió relacionar este winlocker con la grupo ciberdelincuente NyashTeam. Esta banda, activa al menos desde 2022, se especializa en el modelo Malware-as-a-Service (MaaS), alquilando o vendiendo a terceros kits listos para lanzar campañas de malware.
Un indicio de origen rusohablante procede de la ruta PDB encontrada en el archivo: C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb. Según F6, clientes de NyashTeam han atacado víctimas en más de 50 países, con un volumen significativo de afectados en Rusia. En el verano de 2025, la misma compañía ya había logrado interrumpir parte de su infraestructura, desactivando más de 110 dominios en la zona .ru.
Análisis técnico: anti-VM, bloqueo de Windows e imitación de cifrado
Mecanismos Anti-VM y evasión de análisis
El winlocker Legion integra un módulo Anti-VM diseñado para detectar si se ejecuta en una máquina virtual o en una sandbox de análisis. Comprueba, por ejemplo, si el nombre del equipo o el fabricante contienen cadenas como “VPS”, “vmware” o “VirtualBox”. En caso afirmativo, finaliza su ejecución con error. Este tipo de técnicas de evasión dificultan el trabajo de los analistas y de las soluciones antivirus automatizadas, una tendencia cada vez más habitual tanto en ransomware como en troyanos bancarios.
Bloqueo de la sesión y secuestro de combinaciones de teclas
Tras ejecutarse, el malware crea notas de rescate en las unidades disponibles (a partir de D: en adelante) y muestra una falsa pantalla de “carga del sistema” con supuestos errores críticos. No hay reinicio real ni proceso de cifrado; se trata únicamente de una puesta en escena visual.
El núcleo de su efectividad reside en el interceptado de combinaciones de teclas del sistema como Ctrl+Alt+Del, Alt+F4 o Win+L. Cualquier intento del usuario de abrir el Administrador de tareas o bloquear la sesión solo refuerza el bloqueo de la interfaz. De este modo, la víctima queda prácticamente sin control sobre Windows, salvo que introduzca el código de desbloqueo exigido en la nota de rescate.
Generación del código de desbloqueo y objetivo financiero
El winlocker genera un identificador del equipo infectado a partir de la hora de ejecución. El código de desbloqueo responde a una fórmula predecible del tipo: nyashteam***0c0v11 + tiempo de ejecución. Al introducir el código correcto, el programa se elimina de la ejecución automática y se cierra. Este comportamiento confirma que el objetivo principal es el lucro mediante extorsión, no la destrucción de datos, lo que reduce el impacto técnico pero mantiene el riesgo económico y psicológico para la víctima.
Evolución de las campañas: de CryptoBytes a Legion y WebRAT/SalatStealer
F6 ha detectado variantes similares de winlocker desde, al menos, julio de 2022. En aquel momento, las notas mencionaban al grupo CryptoBytes hacker group, y el producto se comercializaba a través del sitio winlocker-site[.]github[.]io, que redirigía al dominio winlocker[.]ru. Varios contactos señalados entre 2022 y 2023 han dejado de estar activos, pero la cuenta del vendedor @Haskers*** permanece operativa. En las campañas de 2025 aparece el nuevo contacto @nyashteam***, reforzando la atribución a NyashTeam.
Tras el desmantelamiento parcial de su infraestructura en julio de 2025, F6 siguió monitorizando la actividad del grupo. Entre julio de 2025 y enero de 2026 se localizaron paneles de administración de WebRAT —una evolución del SalatStealer que combina funciones de stealer y RAT (herramienta de acceso remoto)— en dominios como salator[.]es, webrat[.]uk, wrat[.]in, salat[.]cn y salator[.]ru. La continua registración de dominios con variaciones de “webrat” y “salat” constituye un indicador de compromiso (IoC) relevante para equipos de respuesta a incidentes.
Métodos de distribución: cracks y cheats para gamers como gancho
El análisis de la infraestructura asociada a estos dominios permitió identificar enlaces maliciosos y muestras detectadas como SalatStealer. Tanto WebRAT como los winlockers se distribuyen de forma activa mediante servicios de compartición de archivos, disfrazando los ejecutables como cracks y cheats para juegos populares como CS2 y Roblox.
Esta táctica de ingeniería social se dirige especialmente a adolescentes y comunidades de gamers, un colectivo que a menudo descarga software desde fuentes no oficiales y donde las políticas de seguridad corporativa no aplican. Casos reales documentados por CERTs nacionales muestran que este vector ha sido utilizado repetidamente para propagar stealers, troyanos y mineros de criptomonedas.
El caso de Legion y NyashTeam ilustra que, incluso tras bloqueos de infraestructura, las bandas de Malware-as-a-Service se adaptan rápidamente, reciclan marcas (CryptoBytes, Legion, WebRAT) y siguen combinando winlockers, stealers y RAT para maximizar beneficios. Frente a ello, usuarios y organizaciones deben reforzar la higiene digital básica: descargar software solo de sitios oficiales, bloquear sitios de intercambio de archivos de baja reputación, desplegar soluciones EDR/antivirus actualizadas, vigilar IoC relacionados con dominios tipo webrat*/salat* y, sobre todo, formar de manera continua a empleados y jóvenes usuarios de juegos y mods no oficiales, reduciendo así la superficie de ataque de este tipo de campañas.
