SHUYAL: el infostealer-tornado que arrasa hasta el último píxel y se esfuma en Telegram

Los investigadores de Hybrid Analysis han documentado un infostealer previamente desconocido, caracterizado por una combinación inusual de reconocimiento profundo del sistema, una amplia recopilación de credenciales y métodos agresivos de evasión. El ejemplar fue descubierto con el nombre SHUYAL — según la ruta de depuración (PDB path), en la que también aparece el nombre de usuario «sheepy». Este software está orientado al robo masivo de contraseñas de navegador, tokens de Discord, datos del portapapeles y capturas de pantalla, que luego se envían a través de un bot de Telegram. Todos los artefactos, incluido el propio malware, se eliminan tras finalizar su ejecución.

La recopilación de información comienza inmediatamente tras el inicio. SHUYAL crea un canal de comunicación anónimo mediante la llamada a la API CreatePipe, que luego utiliza para leer la salida de procesos secundarios. Entre los primeros comandos se incluye una serie de llamadas a wmic, con las que el programa obtiene el modelo y número de serie de los discos duros (wmic diskdrive get model,serialnumber), la descripción e ID del teclado (wmic path Win32_Keyboard get Description,DeviceID), datos del ratón (wmic path Win32_PointingDevice get Description,PNPDeviceID, llamada dos veces) e información sobre el monitor conectado (wmic path Win32_DesktopMonitor get Description,PNPDeviceID). El último comando, wmic get name, genera un error debido a una sintaxis incompleta.

SHUYAL también extrae la ruta del fondo de escritorio del usuario, ejecutando PowerShell con el siguiente comando:
(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper

Paralelamente, el malware monitorea los procesos activos y, si detecta el Administrador de tareas (Taskmgr.exe), lo finaliza inmediatamente mediante la API TerminateProcess. Luego modifica el registro del sistema: en la clave HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System se añade el parámetro DisableTaskMgr con el valor 1, bloqueando así futuros intentos de abrir el administrador. Este cambio se realiza mediante PowerShell, como se muestra en el informe.

SHUYAL obtiene el descriptor de salida estándar y activa el modo ENABLE_ECHO_INPUT, modificando la configuración de la consola mediante llamadas explícitas a la API de Windows, lo cual puede considerarse un indicador de comportamiento malicioso.

Para lograr persistencia, SHUYAL utiliza la API SHGetSpecialFolderPathA con el parámetro 0x7 (CSIDL_STARTUP) para determinar la carpeta de inicio automático del usuario. Luego se copia en esa ubicación usando la función CopyFileA. En el código hay cadenas que indican si esta operación tuvo éxito o no.

Una vez completada la fase de reconocimiento y persistencia, comienza la recopilación de datos sensibles. El programa se centra en robar cuentas desde navegadores. En total, apunta a 19 aplicaciones, entre ellas:

• Chrome
• Edge
• Brave
• Opera
• OperaGX
• Chromium
• Yandex
• Vivaldi
• Tor Browser
• Waterfox
• Epic
• Comodo
• Slimjet
• Coccoc
• Maxthon
• 360browser
• UR Browser
• Avast Secure Browser
• Falkon

La búsqueda de archivos comienza obteniendo los atributos del archivo Login Data mediante la API GetFileAttributesExW. Las bases de datos encontradas se copian al directorio de trabajo actual con nombres únicos, por ejemplo, chrome_Data.db para Chrome. A partir de ellas se extraen combinaciones de usuario y contraseña con la consulta SQL:

Los datos se descifran utilizando mecanismos integrados de Windows. Primero se extrae del archivo Local State una clave maestra codificada en Base64. Esta se decodifica y descifra mediante la API CryptUnprotectData. La clave resultante se usa para descifrar las contraseñas extraídas de las bases de datos. Todos los datos se almacenan en el archivo saved_passwords.txt dentro del directorio temporal runtime\passwords.

El historial del navegador se copia desde el archivo \User Data\Default\History y se guarda como runtime\history\history.txt. El contenido del portapapeles se recupera mediante OpenClipboard y GetClipboardData, y se guarda en runtime\clipboard\clipboard.txt. La captura de pantalla se realiza con GdiplusStartup, BitBlt y GdipSaveImageToFile, y se guarda como runtime\pic\ss.png.

SHUYAL también busca tokens de Discord, incluyendo el cliente normal, Discord Canary y la versión PTB. Los tokens encontrados se guardan en runtime\browser\tokens.txt. Además, se crea runtime\browser\debug_log.txt, donde se registran acciones relacionadas con los navegadores, bases encontradas, éxito del descifrado y otra información de depuración.

Para borrar sus huellas, el malware elimina los datos almacenados en el directorio runtime, así como las modificaciones en las bases de datos de los navegadores. Antes de eso, todo el contenido de la carpeta temporal se comprime mediante PowerShell:

El archivo runtime.zip se envía a un bot de Telegram en la siguiente URL:
hxxps[:]//api.telegram[.]org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjQ/sendDocument?chat_id=-1002503889864

Durante la comunicación de red también se utiliza la función WSAEnumNetworkEvents, que permite detectar la actividad de los sockets. Esto puede formar parte de la lógica de espera o verificación de conexión antes de la transmisión de datos.

Al finalizar todas las operaciones, SHUYAL inicia su autodestrucción. Crea un script por lotes llamado util.bat con los siguientes comandos:

@echo off
timeout /t 3 /nobreak > NUL
del "SHUYAL.exe"
rd /s /q "%TEMP%\runtime"
exit

Este script se guarda en el disco y se ejecuta como paso final. Así, el malware apenas deja rastros en el sistema de archivos de la víctima.

Todos los indicadores de comportamiento han sido documentados en el informe de Hybrid Analysis. Los investigadores subrayan que SHUYAL representa una evolución clara desde los infostealers multiplataforma simples hacia soluciones modulares autónomas, capaces de actuar de forma rápida, agresiva y sigilosa. Gracias al uso de Telegram como canal de exfiltración, el atacante recibe los datos de forma inmediata, y los mecanismos de limpieza dificultan cualquier análisis posterior al ataque.