Investigadores de CyberArk han detectado una vulnerabilidad XSS en la consola web del famoso stealer StealC y la han utilizado contra los propios operadores del malware. La explotación del fallo permitió recopilar información técnica de sus dispositivos, geolocalización aproximada y, sobre todo, acceder a cookies de sesión para secuestrar sesiones activas en el panel.
Qué es StealC: malware-as-a-service para el robo de credenciales
StealC apareció a principios de 2023 y se consolidó rápidamente como una de las familias de Malware-as-a-Service (MaaS) más visibles en el mercado underground. Este tipo de stealers se especializan en el robo de credenciales, cookies de navegador, datos de autocompletado, carteras de criptomonedas y otro tipo de información sensible.
El atractivo de StealC para los ciberdelincuentes reside en su combinación de capacidades de evasión y un conjunto de funciones amplio y en constante evolución. En 2024 apareció StealC V2, que incorporó soporte para bots de Telegram y un builder actualizado. Este constructor permite generar muestras personalizadas según plantillas y reglas específicas, definiendo qué datos priorizar y qué escenarios de ataque apoyar.
En el modelo MaaS, el desarrollador del malware se encarga de la infraestructura, las actualizaciones y el soporte, mientras docenas o cientos de operadores se centran en la distribución y monetización de las campañas. Informes de fabricantes de ciberseguridad señalan que este modelo se ha convertido en uno de los principales impulsores del delito digital en los últimos años.
Vulnerabilidad XSS en el panel de StealC: impacto técnico y riesgo para los atacantes
De forma paralela a la evolución de StealC, el código fuente de su panel administrativo se filtró en la red. Esto dio a los analistas de seguridad la oportunidad de auditar en detalle la infraestructura del malware. Durante este análisis, CyberArk identificó una vulnerabilidad de cross-site scripting (XSS) en la interfaz web.
Una vulnerabilidad XSS permite inyectar y ejecutar JavaScript arbitrario en el navegador del usuario que visita una página vulnerable. En el caso de StealC, los investigadores lograron insertar scripts que se ejecutaban directamente en los navegadores de los operadores del malware cuando accedían al panel de control.
Según CyberArk, el exploit XSS hizo posible realizar fingerprinting del navegador y del equipo, monitorizar sesiones activas y capturar cookies de sesión. Con esas cookies, los investigadores pudieron secuestrar sesiones de administrador sin conocer las credenciales originales. Los detalles técnicos finos se han mantenido en privado para dificultar que los operadores de StealC corrijan rápidamente el fallo.
Deanonimización de operadores de StealC y datos técnicos obtenidos
Mediante la explotación de XSS, los especialistas recopilaron un volumen significativo de datos sobre algunos operadores de StealC: modelo y arquitectura de los dispositivos, idioma del sistema, zona horaria y ubicación aproximada. La información de red, combinada con errores operativos como conectarse sin VPN, permitió trazar un perfil bastante preciso de ciertos actores.
Caso YouTubeTA: canales de YouTube comprometidos y software pirata
Uno de los casos más ilustrativos es el del operador conocido como YouTubeTA. El análisis de sus sesiones comprometidas mostró que trabajaba desde un sistema con chip Apple M3, utilizaba interfaces en inglés y ruso y operaba en un huso horario de Europa del Este. Parte de la actividad se originaba en el segmento ucraniano de Internet y, en una ocasión, se registró un acceso sin VPN desde una IP real asignada al proveedor ucraniano TRK Cable TV.
Los datos recopilados indican que YouTubeTA se especializaba en la comprometación de canales legítimos de YouTube. Probablemente reutilizaba credenciales robadas previamente para tomar el control de canales antiguos pero con buena reputación y audiencia activa.
Tras el secuestro de los canales, el operador publicaba vídeos que incluían enlaces a cargadores maliciosos disfrazados de versiones “gratuitas” de software popular. Capturas del panel de YouTubeTA muestran que el mayor volumen de infecciones procedía de usuarios que buscaban copias pirata de Adobe Photoshop y Adobe After Effects. Solo en 2025 habría recopilado más de 5000 logs, alrededor de 390 000 contraseñas y cerca de 30 millones de cookies (muchas poco valiosas individualmente, pero útiles para aumentar la probabilidad de acceso a sesiones de alto valor).
Lecciones clave de ciberseguridad: MaaS, software pirata y defensa proactiva
El caso de StealC ilustra cómo las plataformas de malware-as-a-service permiten escalar campañas delictivas con relativa facilidad. A medida que un servicio se populariza, crece también el impacto potencial de ataques dirigidos contra su propia infraestructura, como en este caso con la vulnerabilidad XSS.
CyberArk ha hecho pública la existencia del fallo con el objetivo de disuadir a operadores y degradar la confianza en StealC. En ecosistemas MaaS muy extendidos, cada golpe a la fiabilidad de la plataforma complica su mantenimiento, inhibe la adopción por nuevos actores y reduce su valor en mercados clandestinos.
Desde la perspectiva defensiva, el incidente refuerza varias conclusiones fundamentales. En primer lugar, descargar software pirata es una de las vías de infección más explotadas por stealers: búsquedas como “descargar Photoshop gratis” se asocian a un riesgo elevado de malware. En segundo lugar, el uso de gestores de contraseñas, contraseñas únicas, autenticación multifactor (2FA) y la limpieza periódica de cookies y sesiones del navegador mitigan significativamente el impacto del robo de credenciales.
Para las organizaciones, se vuelve crítico invertir en threat hunting continuo, monitorización de filtraciones de credenciales y telemetría que permita detectar patrones de robo de información antes de que se conviertan en brechas mayores. El episodio de StealC demuestra que incluso las infraestructuras criminales mejor organizadas son vulnerables al análisis técnico riguroso y a la investigación proactiva, un argumento sólido para fortalecer programas internos de ciberinteligencia y revisión de la higiene digital tanto de empleados como de usuarios.
