Reinstalar Windows no basta: el virus MoonBounce se esconde en el «corazón» de tu ordenador
Los programas de seguridad tradicionales ni siquiera detectarán que el sistema está comprometido.
El especialista en análisis de malware Li Biaomin, conocido por el seudónimo Seeker, publicó notas de investigación detalladas dedicadas al implante MoonBounce y su funcionamiento a nivel del firmware UEFI. El material se centra en el estudio del DXE Core —componente clave de la arquitectura de arranque, que gestiona el lanzamiento de todos los módulos posteriores en la fase DXE y, de hecho, actúa como un sistema operativo dentro del firmware.
En la base del estudio está el análisis de cómo MoonBounce se inyecta directamente en el código ejecutable del DXE Core. En lugar de crear un módulo separado, la lógica maliciosa se incorpora en funciones ya existentes, lo que permite interceptar etapas críticas del arranque del sistema. En particular, el autor describe el mecanismo de interceptaciones en línea en los servicios EFI, a través de las cuales el implante obtiene control sobre los procesos de asignación de memoria, gestión de eventos y la transición del firmware al cargador del sistema operativo.
Se presta atención especial a la universalidad del esquema de ataque. MoonBounce es capaz de adaptarse a distintos escenarios de arranque —tanto usando el modo de compatibilidad CSM como en un entorno UEFI puro. En un caso, el control se transfiere mediante eventos de arranque heredado; en el otro, mediante la interceptación del punto de transición del firmware al núcleo del sistema operativo. Esto hace que el implante sea resistente a diversas configuraciones y arquitecturas de sistemas.
El estudio subraya que una arquitectura de este tipo exige un entendimiento profundo de la lógica interna de UEFI y de los puntos de confianza dentro del proceso de arranque. MoonBounce, en la práctica, incorpora su lógica en el propio núcleo de ejecución del firmware, obteniendo acceso al control del sistema antes incluso de que se carguen los controladores y componentes del sistema operativo. Ese enfoque complica de manera significativa la detección y el análisis de la amenaza.
Li Biaomin se apoya en materiales publicados anteriormente por Kaspersky Lab y la empresa Binarly, que relacionan a MoonBounce con el grupo APT41, también conocido como Winnti. Sus notas no repiten los informes técnicos, sino que los complementan con un análisis conceptual de la arquitectura del ataque y la lógica de la inyección en el DXE Core, mostrando cómo evolucionan los implantes de firmware modernos y por qué resultan cada vez más difíciles de detectar y neutralizar.