«Hola, soy tu proceso del sistema»: así YiBackdoor se vuelve invisible ante las defensas de Windows
Borra las entradas sospechosas del registro o podrías perder tus datos.
Zscaler ThreatLabz, en su informe reciente, reveló detalles de una nueva familia de malware llamada YiBackdoor, que fue registrada por primera vez en junio de 2025 — desde el inicio el análisis mostró coincidencias significativas de código fuente con los cargadores IcedID y Latrodectus, y Zscaler señala directamente esta relación como clave para comprender el posible origen y el papel de la nueva muestra en las intrusiones.
El malware es una biblioteca DLL modular con un conjunto básico de funciones de control remoto y un mecanismo de ampliación mediante complementos; por defecto la funcionalidad es limitada, pero los atacantes pueden descargar módulos adicionales para aumentar sus capacidades.
El programa se copia a una carpeta recién creada con un nombre aleatorio, logra persistencia mediante la clave Run de Windows y emplea el lanzamiento de regsvr32.exe indicando la ruta maliciosa — el nombre de la entrada en el registro se genera mediante un algoritmo pseudaleatorio; a continuación el módulo primario se autodestruye, lo que complica las medidas de respuesta y el análisis forense. La ejecución de la lógica maliciosa está condicionada por una configuración incrustada y cifrada, de la que se extrae la dirección del servidor de mando y control (C2), y la comunicación con el C2 se realiza mediante respuestas HTTP que contienen comandos.
Las capacidades de YiBackdoor incluyen la recopilación de metadatos del sistema, la captura de pantallas y la ejecución de comandos de shell mediante cmd.exe y PowerShell, así como la descarga e inicialización de complementos cifrados en Base64; los comandos clave identificados en el mecanismo de control incluyen: Systeminfo, screen, CMD, PWS, plugin, task. La técnica de implantación de código contempla la inyección en el proceso svchost.exe, y los mecanismos anti-análisis integrados están orientados a detectar máquinas virtuales y sandboxes, lo que reduce la probabilidad de activación durante el análisis en entornos protegidos.
Los analistas de Zscaler destacan una serie de coincidencias con IcedID y Latrodectus: método de inyección similar, formato y longitud idénticos de la clave para descifrar la configuración, así como algoritmos cercanos para desencriptar los bloques de configuración y los complementos. Teniendo en cuenta estas coincidencias y la arquitectura observada, el personal de la empresa evalúa, con un grado de confianza moderadamente alto, que detrás de la creación de YiBackdoor podrían estar los mismos desarrolladores responsables de los cargadores previos; además, los despliegues actuales son limitados, lo que sugiere una fase de desarrollo o prueba y un posible papel de la muestra como precursor de etapas posteriores de explotación, incluida la preparación del acceso inicial para programas de ransomware.
La organización subraya la importancia de monitorizar las solicitudes HTTP salientes y los cambios en el registro, así como de aplicar reglas de detección centradas en señales de comportamiento de la inyección en svchost.exe y en anomalías relacionadas con el lanzamiento de regsvr32.exe desde rutas aleatorias — estos indicadores permiten detectar a tiempo los intentos de implantación de YiBackdoor y limitar la actividad posterior de los atacantes.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla