Ex creador de rootkits y botnets se incorpora como desarrollador oficial de Microsoft; su nuevo producto: un depurador del núcleo

La historia de una de las amenazas cibernéticas más conocidas de la última década tuvo una continuación inesperada. El desarrollador del botnet ZeroAccess, que en su momento infectó millones de dispositivos en todo el mundo, años después de su desmantelamiento volvió a estar en el punto de mira de los investigadores. Sin embargo, ahora se le presenta no como creador de código malicioso, sino como autor de herramientas legales para la depuración y el análisis a nivel del sistema. Además, en 2025 publicó en GitHub su propio depurador del kernel de Windows bajo el nombre YDbg —una versión renovada del anteriormente desconocido proyecto utilitario Z-Dbg.

ZeroAccess apareció alrededor de 2009 y se convirtió en uno de los botnets P2P más extensos y complejos de su época. Su base fue un rootkit a nivel de kernel que proporcionaba sigilo y resistencia en los sistemas infectados. Inicialmente la red se utilizó para fraude en clics y, más tarde, para la minería de bitcoin. Con el tiempo se abandonó el módulo rootkit, pero el enfoque para construir la infraestructura se mantuvo. A medida que el proyecto evolucionó, quedó claro que su creador poseía conocimientos profundos sobre la arquitectura interna de Windows y la capacidad de eludir sus mecanismos de protección. Esa misma persona, según se supo, más adelante se orientó hacia actividad legal: desarrolló utilidades del sistema y herramientas de depuración, ofreciendo sus servicios en plataformas de freelance.

En 2016, participantes del foro kernelmode.info intentaron identificar al desarrollador de ZeroAccess. Como resultado de la investigación encontraron varias aplicaciones inocuas para Windows escritas por el mismo autor. Entre ellas había software de transmisión de TV cuyos metadatos contenían contactos que permitieron dar con una persona real. Se trataba de un residente de Odesa, Ucrania, de 40 años, llamado Maksim Samuistov, que usaba el nick de Skype maksimsamuistov. Esta información se remitió a CERT-UA, que confirmó la existencia de esa persona. Según la agencia, las autoridades locales entonces se negaron a tomar medidas contra él. Tras la publicación de los datos en el foro y en una cuenta de X, el desarrollador eliminó sus páginas de freelance y desapareció temporalmente de la red.

Sin embargo, ya en 2017 empezaron a aparecer en Internet nuevos perfiles con los nicks rbmm y alex short. Estaban vinculados a páginas activas en GitHub, Stack Overflow y OSR Online, que el desarrollador sigue utilizando. Además, en 2019 volvió a ofrecer sus servicios bajo el nombre Alex S. en la plataforma Upwork, indicando como ubicación Lviv. Más tarde surgieron otros perfiles: X, LinkedIn (eliminado), YouTube y un blog. En la descripción del perfil en X el desarrollador indica participación en proyectos como Protectimus y StartMenuX, lo que confirma su orientación posterior hacia la programación legal.

El producto moderno más interesante del autor es el depurador del kernel de Windows: una herramienta que anteriormente existía bajo el nombre Z-Dbg y que desde 2025 se conoce como YDbg y fue publicada en GitHub. En mensajes tempranos el autor compartía prototipos con otros desarrolladores, lo que probablemente explica la aparición de versiones antiguas en VirusTotal. Por la estructura de archivos y la funcionalidad, Z-Dbg estaba orientado al diagnóstico de bajo nivel y al trabajo con símbolos del kernel, ofreciendo capacidades ampliadas para el análisis de controladores y módulos del sistema. Hay videos que muestran las capacidades de la herramienta publicados en el canal de YouTube del autor.

Resulta especialmente interesante la firma de los archivos ejecutables. En uno de los paquetes de instalación de 2018 se incluían componentes, entre ellos la biblioteca de 64 bits tkn.dll, firmada con un certificado autofirmado 45cae3b9. Para su carga era necesario activar la firma de controladores en modo de prueba al iniciar Windows. Al mismo tiempo, la compilación de 32 bits de 2015 mostró otra situación: la mayoría de archivos tenían la firma "max black" —seudónimo vinculado a los primeros periodos de actividad del autor—, pero una librería, tkn.dll, estaba firmada con un certificado válido de Vertamedia, LLC.

Vertamedia (hoy Adtelligent) es una empresa especializada en monetización publicitaria. Surge la pregunta lógica: ¿cómo obtuvo el desarrollador de ZeroAccess acceso al certificado de esa firma? Existen varias explicaciones posibles: desde un robo hasta participación directa en proyectos de la empresa o vínculos con sus empleados. La coincidencia fortuita parece descartada: el botnet que se beneficiaba de esquemas de clics y el certificado de una plataforma publicitaria se cruzan de forma demasiado evidente.

La comparación de distintas compilaciones muestra la evolución de la herramienta y la transformación de las prácticas del autor. En las versiones recientes del depurador YDbg, alojadas en GitHub, todos los archivos están firmados con certificados válidos de la compañía dennisbabkin.com, LLC. Entre ellos se encuentran los módulos ejecutables DbgNew.exe, MemDump.exe, NtRegView.exe, SearchEx.exe y otros, compilados entre 2021 y 2025. Es notable que el controlador principal tkn.dll tenga la firma Microsoft Windows Hardware Compatibility Publisher, lo que confirma su certificación dentro del programa Microsoft WHCP. Esto significa que el componente fue verificado oficialmente para compatibilidad con Windows y puede cargarse sin activar el modo de prueba.

En conjunto, todo indica que el antiguo creador de ZeroAccess no solo abandonó la actividad ilegal, sino que consiguió legalizar sus desarrollos obteniendo la confianza de proveedores de certificados digitales. A diferencia de la época de rootkits y backdoors, sus herramientas actuales cumplen requisitos de seguridad y pueden ser utilizadas por especialistas en programación de sistemas y depuración de controladores.

Es significativo que desde la última mención sobre él en 2016 no se haya detectado ningún programa malicioso que contenga su código o estructura característicos. Con alta probabilidad, dejó de participar en proyectos opacos y se centró en software legal. No obstante, el propio autor sigue evitando publicar datos personales y no revela su nombre real. Según la información disponible, en 2018 se realizaron intentos de investigación por parte de autoridades estadounidenses, aunque el caso no llegó a un arresto.

Así, el destino del desarrollador de ZeroAccess ejemplifica una rara transformación: de autor de uno de los botnets más notorios de principios de la década de 2010 a creador de herramientas del sistema certificadas. Su trayectoria refleja la evolución del sector: en una época en la que la seguridad ofensiva, la simulación de APT y los programas de búsqueda de vulnerabilidades se han convertido en alternativas legales al cibercrimen, quienes antes escribían rootkits ahora desarrollan depuradores y controladores firmados por Microsoft.