Firma de Microsoft y antivirus «muerto»: Silver Fox halla modo de eludir la protección de Windows a nivel de kerne
Hackers chinos implantan el módulo WinOs para crear botnets aprovechando una vulnerabilidad en el núcleo del sistema operativo.
El grupo chino Silver Fox volvió a cambiar de táctica y empezó a usar un controlador vulnerable hasta ahora desconocido para desactivar la protección del sistema y persistir en el equipo de la víctima. Esta nueva técnica permite terminar procesos de antivirus a nivel del núcleo y luego ejecutar de forma sigilosa un módulo de control remoto. A la vulnerabilidad encontrada ya se le ha asignado el identificador CVE-2025-70795.
Los especialistas detectaron una muestra reciente de malware. Este descargaba un sospechoso controlador llamado STProcessMonitor Driver, que antes no se había visto en las operaciones de este grupo. El controlador tiene una firma digital válida y pasó la certificación de compatibilidad de hardware de Microsoft; la firma está fechada en mayo de 2025. Gracias a ello parece legítimo y no despierta sospechas inmediatas en el sistema de protección.
El problema es que el controlador crea desde el modo usuario una solicitud especial de control que permite terminar cualquier proceso sin verificar el objetivo. El atacante envía la orden necesaria al controlador y detiene por la fuerza los servicios de los antivirus y los sistemas de detección de intrusiones. Este enfoque se conoce como ataque que aprovecha un controlador vulnerable. Se toma el controlador tal cual, se instala en el sistema y se usan sus errores contra la propia protección.
La cadena de infección es de varias etapas. El instalador malicioso descomprime archivos cifrados, ensambla ejecutables a partir de fragmentos y añade exclusiones en Windows Defender mediante la interfaz de comandos PowerShell. Si en el equipo funciona el popular paquete de seguridad chino 360, el programa intenta bloquear temporalmente las conexiones de red a través de la configuración del firewall integrado. A continuación se ejecuta el módulo principal, que según una lista termina procesos de productos de seguridad de distintos fabricantes.
Un componente separado instala además un segundo controlador que intercepta funciones del núcleo del sistema y oculta la actividad de los procesos maliciosos. Para persistir en el sistema se crea una tarea del programador con permisos modificados. Por ello, la eliminación estándar de la tarea provoca un error de acceso y los rastros de la infección permanecen incluso después de los intentos de limpieza.
La fase final del ataque es el lanzamiento del troyano de control remoto WinOs. Este descifra su configuración, se conecta al servidor de mando y convierte el equipo en un nodo de una red de bots. A través de él los atacantes pueden ejecutar órdenes, recopilar datos y mantener acceso persistente. Según las etiquetas dentro de la configuración, esta variante se ensambló en noviembre de 2025.
El nuevo controlador no se había encontrado antes ni en bases abiertas ni en conjuntos conocidos de controladores vulnerables. Al mismo tiempo, la telemetría muestra que sigue distribuyéndose. Esto indica que los operadores de la campaña no solo utilizan herramientas ya listas, sino que también buscan activamente nuevas debilidades en controladores firmados para eludir la protección a nivel del núcleo. Para los administradores, esto es otra señal de que deben controlar con más atención la carga de controladores de terceros y activar políticas de bloqueo para módulos vulnerables.