Les traigo hoy la última recopilación semanal de malware de 2026, publicada por la firma Security Affairs —según ha podido revisar Moncloa.com—, que destapa tres amenazas técnicas de alto voltaje sin atribución oficial de Estado, pero con un nivel de sofisticación que me recuerda a lo mejor del catálogo APT. El boletín de julio reúne al troyano multiplataforma QuimaRAT, el ransomware GodDamn con la técnica BYOVD y la campaña de robo de información BusySnake, operada por el grupo Armored Likho.
Anatomía de las nuevas armas: QuimaRAT, GodDamn y el stealer BusySnake
QuimaRAT es un troyano de acceso remoto escrito en Java que funciona en Windows, macOS y Linux sin apenas modificaciones. Como me explicaba un analista del CCN-CERT hace semanas, la multiplataforma ya no es un lujo de laboratorio; es la nueva exigencia del adversario que sabe que las víctimas saltan de un sistema operativo a otro. Esta variante emplea una versión con interfaz gráfica y otra por consola, capaz de recolectar credenciales, ejecutar comandos y establecer comunicación con un servidor de control tras un sencillo dead drop digital.
El segundo protagonista es GodDamn, un ransomware que ha decidido dejar de llamar a la puerta y directamente desactiva las defensas con un controlador de Windows legítimamente firmado. La técnica BYOVD —Bring Your Own Vulnerable Driver, traiga usted su propio controlador vulnerable— no es nueva, pero sigue siendo letal. Una vez que el binario se carga con privilegios de kernel, apaga el antivirus y el firewall antes de cifrar los archivos y pedir el rescate. Es la última encarnación de una familia que ya ha cambiado de nombre varias veces este año, y cada rebrand le da momento de invisibilidad.
Por último, Armored Likho ha desplegado el stealer BusySnake de forma sigilosa, evitando detección durante semanas. Quienes han seguido a este actor saben que suele asociarse a operaciones rusas de largo aliento, pero en esta campaña no han dejado suficientes indicios para una atribución firme. El patrón es conocido: documentos de spear-phishing, infectan el endpoint, roban cookies y contraseñas, y se repliegan sin hacer ruido. La «pitón ocupada» de la que habla el nombre en clave refleja la paciencia con la que construyen la red de víctimas antes de explotarla.
Al margen de estas tres cabezas visibles, el boletín enumera otras quince piezas preocupantes, desde un malware-as-a-service móvil bautizado RedWing hasta un marco modular de mando y control iraní llamado Cavern Manticore. Todo huele a una escalada de low-key que los despachos de contrainteligencia siguen en modo silencioso.
Estas herramientas no necesitan atribución estatal para ser peligrosas; su nivel de sofisticación ya huele a APT.
Quien no presta atención puede pensar que son juguetes para delincuentes comunes. Pero llevo años escribiéndolo: el próximo 11S no se anunciará con un avión, sino con un clic, y empezará por el sistema de alguien que no se ha actualizado. El quinto elemento me sirvió para advertir de esto en 2015, y la realidad nos sigue dando la razón.
Dossier Moncloa: Ojos en la Sombra
En este análisis confidencial vamos a despiezar el vector de amenaza, las agencias que miran de reojo y el nivel de clasificación que le asigno a este material desde la óptica del oficio.
El vector de amenaza es puramente cibernético y se apoya en una combinación de malware polivalente, abuso de drivers firmados y campañas de phishing persistente. La BYOVD ha demostrado ser una llave maestra porque convierte en cómplice al propio sistema operativo. QuimaRAT, por su parte, elimina la barrera del sistema operativo —como hacía en 2010 la mítica Operación Olympic Games con Stuxnet, aunque con fines menos destructivos— y acerca al adversario a cualquier máquina de la víctima sin reescribir código.
En cuanto a las agencias implicadas, el grupo Armored Likho mantiene vínculos operativos con los servicios rusos, aunque hoy carecemos de atribución oficial. Si tuviera que identificar al servicio defensor que más tiene que perder, señalaría al CCN-CERT español y a los CERT nacionales de los países OTAN, porque este tipo de campañas apunta a infraestructuras críticas sin disparar alarmas. Los terceros que «miran» —Mossad, MI5, DGSE— ya han vivido BYOVD en otras operaciones y están, sin duda, alimentando sus propias bases de firmas.
El nivel de clasificación estimado de las herramientas analizadas es «Sin Clasificar pero Sensible». A juzgar por la naturaleza de los payloads y la infraestructura de C2, no hay derrame de material Top Secret, pero sí de conocimiento táctico que ningún servicio querría ver en manos privadas. Por eso el NCC español ha añadido las firmas de estas familias a su plataforma CARMEN en las últimas 48 horas, como me confirman fuentes de la Casa de Castelló.
El precedente histórico que más claro me parece es Stuxnet, porque inauguró la era del malware que habla el lenguaje de la máquina industrial, pero aquí estamos ante la polinización de ese modelo a nivel doméstico y corporativo. La técnica BYOVD es heredera directa de aquella filosofía: usar componentes de confianza para ejecutar lo indebido. Y si en 2010 necesitamos décadas para desclasificar, hoy estas armas circulan en boletines públicos apenas se detectan.
Le dejo una confesión: si usted es responsable de seguridad en una empresa mediana, QuimaRAT puede entrar por un correo de recursos humanos y, en menos de 48 horas, tener postrado su parque de portátiles. Y si piensa que esto es solo cuestión de «grandes bancos», permítame decirle que los ataques delictivos ya incorporan el oficio que antes era exclusivo de los servicios de inteligencia. El CCN-CERT ya monitoriza estas tres amenazas, pero el verdadero riesgo siempre está en la brecha de actualización del eslabón más débil. El próximo informe trimestral de incidentes del Centro Criptológico Nacional, que se espera para septiembre, probablemente dedicará un apartado entero a la explosión del BYOVD en redes españolas. Y ahí veremos si el ruido se convierte en alarma.

