Una nueva campaña de ciberespionaje ruso ha estado infectando sistemas en Estados Unidos y Europa desde junio de 2025 a través de instaladores falsos de herramientas tan cotidianas como Webex, Zoom o la utilidad para desarrolladores MobaXterm. Cisco Talos, la división de inteligencia de amenazas del gigante tecnológico, reveló ayer los detalles de la operación, bautizada como UAT-11795, que despliega un peligroso troyano de acceso remoto bautizado como Starland y un implante que opera enteramente en memoria, el agente WLDR.
Lo que hace singular esta campaña, y le adelanto que no es un detalle menor, es su canal de mando y control de respaldo: si los dominios principales son bloqueados, el malware recurre a un contrato inteligente alojado en la red Polygon para recuperar una dirección alternativa. Un C2 anclado a una cadena de bloques pública que no se puede tumbar.
Anatomía del ataque: un RAT que se esconde en una falsa licencia
La infección arranca con una técnica de ingeniería social que Talos denomina ClickFix. La víctima es engañada para que ejecute un comando que descarga y lanza silenciosamente un archivo HTA malicioso. Ese archivo despliega un script por lotes de Windows y un instalador troyanizado, y además deja anclada la puerta trasera mediante una clave de ejecución automática en el registro. Cada vez que el usuario inicie sesión, el HTA se reactiva.
Los instaladores están construidos con Nullsoft Scriptable Install System y empaquetan una versión real de Python junto a un cargador compilado que se disfraza con el inocente nombre LICENSE.txt. El script ejecuta el cargador, que descifra el RAT Starland con una clave XOR de un solo byte y lo lanza directamente en memoria. Mientras tanto, la instalación genuina del software transcurre con normalidad: el usuario ve lo que espera y no sospecha nada.
Pero antes de cualquier comunicación con el exterior, Starland lanza sus contramedidas. Compara el nombre de usuario contra cuentas de servicio habituales en entornos de sandbox —WDAGUtilityAccount entre ellas— y después coteja el nombre del equipo con los de máquinas virtuales de Cuckoo, Any.Run, Joe Sandbox y Hybrid Analysis. Si cualquiera de las dos comprobaciones coincide, el RAT se apaga sin dejar rastro. También examina si el archivo se descargó efectivamente desde un navegador, revisando el flujo alternativo Zone.Identifier. Si el instalador fue copiado o subido directamente, la ejecución se aborta.
Llevo años escribiéndolo: el próximo 11S no se anunciará con un avión, sino con un clic, y empezará por el sistema de alguien que no se ha actualizado.
Superadas esas defensas, el RAT crea una tarea programada con un nombre aleatorio del estilo PythonLauncher-{3 caracteres} y un acceso directo en la carpeta de Inicio como persistencia secundaria. A continuación, ejecuta un reconocimiento en profundidad: identifica el hardware a partir del número de serie del volumen C:, la RAM total, el antivirus instalado y si la máquina pertenece a un dominio de Active Directory. Si detecta que está en una red corporativa, lanza comandos como whoami, systeminfo y nltest para mapear la estructura del dominio. Además, enumera más de cuarenta monederos de criptomonedas tanto de extensiones de navegador como de aplicaciones de escritorio, toma una captura de pantalla y empaqueta todo en un objeto JSON que cifra con XOR y la clave “helo1” antes de enviarlo al C2.
La respuesta de los actores rusos: ¿financiera o estatal?
La atribución a actores rusoparlantes no es solo geopolítica. Los analistas de Talos encontraron un comentario de desarrollo en ruso dentro del código VBScript: “Добавление команды в автозапуск для текущего пользователя” — “Añadiendo comando al inicio automático para el usuario actual”, una muestra de que los operadores dejaron sus notas de producción directamente en el arma. Sin embargo, el informe no etiqueta al grupo como APT estatal, sino como una amenaza con motivación financiera. La amplia dispersión de señuelos —herramientas de IT, plataformas de colaboración empresarial y hasta juegos— apunta a una estrategia oportunista para pescar en distintos caladeros, no a una operación quirúrgica contra un sector concreto.
Starland no viaja solo. Una vez dentro de la red, puede desplegar cargas adicionales como CastleStealer, un infostealer .NET que se lleva credenciales de navegadores Chromium y Firefox, extensiones de monedero, sesiones de Discord y Telegram, y hasta claves de Steam. Como toque característico de los grupos rusos, CastleStealer comprueba la configuración regional y se autodesactiva si detecta un sistema en ruso, protegiendo así el entorno del operador. También puede entregar el conocido Remcos RAT a través de un shellcode en 32 bits, con un cargador personalizado que desactiva AMSI y ETW en tiempo de ejecución parcheando las primeras instrucciones de las funciones clave del sistema en memoria.
El implante WLDR, sin embargo, es la joya técnica. Llega en tres estadios: un stager en PowerShell fuertemente ofuscado, un descargador que obtiene cargas vinculadas al identificador hardware de la víctima y, finalmente, el agente en memoria. Utiliza cifrado AES-256-CBC con HMAC-SHA256 e intercambia claves mediante PBKDF2-SHA256 con cinco mil iteraciones. Su tráfico se disfraza con cabeceras que imitan una sesión de Chrome 124, y el C2 solo responde si la petición incluye el identificador de hardware correcto. Así, sondear el endpoint sin contexto no arroja nada útil.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es un ciberataque mediante troyano de acceso remoto con capacidades modulares que combina ingeniería social, persistencia a varios niveles y canales de mando y control híbridos. La herramienta Starland y el implante WLDR encajan en la categoría de malware de última generación que no se limita al robo de información, sino que establece una plataforma de control persistente desde la memoria de la víctima. La infraestructura de respaldo basada en contratos inteligentes de Polygon introduce una capa de resiliencia que complica enormemente la desactivación.
Las agencias implicadas son claras en el plano técnico, pero con matices en el de la atribución última. El actor atacante es UAT-11795, un grupo rusoparlante que Cisco Talos vincula con motivación económica. No se trata de un servicio de inteligencia estatal, aunque el nivel de sofisticación hace pensar en antiguos miembros de la comunidad de cibercrimen rusa o en un ecosistema que ha absorbido talento de la escena de los APT clásicos. Quienes defienden son, por ahora, los equipos de seguridad de las víctimas en Estados Unidos y Europa, apoyados por la inteligencia de amenazas de Talos y presumiblemente por centros como el CCN-CERT español, que monitoriza este tipo de campañas. Los terceros interesados incluyen a los bancos centrales —por el robo de criptomonedas— y a los fabricantes de antivirus y plataformas de colaboración que ahora deben revisar sus instaladores.
En cuanto al nivel de clasificación del material comprometido, de debo ser cauto. A juzgar por la naturaleza de los datos sustraídos (credenciales, monederos, información de directorio activo), estamos ante material que puede ser catalogado como Sin Clasificar pero Sensible en la mayoría de las organizaciones privadas, aunque la presencia en entornos gubernamentales elevaría algunas capturas a Reservado. El informe de Talos no incluye víctimas identificadas, por lo que no podemos descartar que alguna red oficial europea haya sido comprometida y que el CNI esté ya evaluando la huella en su perímetro.
El precedente histórico que mejor ilumina esta campaña es la Operación SolarWinds de 2020, donde un actor estatal ruso comprometió a miles de organizaciones a través de un software legítimo, aunque en este caso el vector sea el engaño directo al usuario mediante instaladores falsos. La evolución de los grupos cibercriminales rusoparlantes hacia técnicas cada vez más cercanas a las de un APT confirma la advertencia que lancé en El quinto elemento: la frontera entre el crimen organizado y el ciberterrorismo de Estado se está volviendo porosa, y el próximo gran incidente empezará con un clic silencioso. La campaña UAT-11795 lleva activa más de un año y, me consta por fuentes cercanas a los equipos de respuesta, no será la última vez que oigamos hablar de Starland.

