Contraseñas, criptomonedas y acceso a Steam: Arkanix fingió ser un negocio legal y desapareció de la noche a la mañana
El virus Arkanix logra evadir la protección de Windows y extraer contraseñas almacenadas en navegadores
En el otoño de 2025 apareció en la dark web un nuevo infostealer, Arkanix Stealer. Lo promocionaron como un producto comercial completo con panel de control, soporte e incluso un programa de afiliados. Pero al cabo de unos meses el proyecto desapareció de forma repentina, como si nunca hubiera existido.
La publicidad de Arkanix Stealer fue observada en octubre de 2025 en varios foros clandestinos. A los compradores se les ofrecía el modelo «malware como servicio»: el cliente recibía no solo el programa, sino también acceso a un panel web donde podía configurar funciones, crear nuevos compilados y supervisar las estadísticas de los dispositivos infectados. La comunicación con los autores se realizaba a través de un servidor en Discord, configurado casi como un foro oficial del producto.
No se pudo establecer con precisión el método inicial de infección. Sin embargo, nombres de archivos como steam_account_checker_pro_v1.py o discord_nitro_checker.py sugieren esquemas de phishing con cebos relacionados con servicios de juego y bonos. Al usuario se le ofrecía un cargador en Python o un archivo ejecutable que posteriormente descargaba la parte principal del programa malicioso.
La versión en Python de Arkanix podía cambiar dinámicamente su conjunto de funciones. Tras iniciarse, el cargador instalaba las bibliotecas necesarias, se conectaba al servidor arkanix[.]pw y registraba el equipo infectado en el panel de control. Luego descargaba el módulo principal. Antes de recopilar datos, el programa además obtenía el llamado «dropper», cuyo contenido está oculto.
Las funciones de robo de datos eran amplias. El programa malicioso recopilaba información del sistema, incluyendo la versión del sistema operativo, el procesador, la tarjeta gráfica, la cantidad de memoria, la lista de programas instalados, el antivirus y la presencia de servicios de red privada virtual. Un módulo específico comprobaba la dirección externa mediante un servicio externo y determinaba si se estaba usando una VPN o una red de anonimato.
Se prestó especial atención a los navegadores. La lista de soporte incluía 22 aplicaciones, desde Google Chrome hasta Tor Browser. El programa extraía el historial de navegación, las contraseñas guardadas, cookies, datos de autocompletado y la información de tarjetas bancarias. En los navegadores basados en Chromium también se extraían tokens de autorización. Los datos se descifraban con herramientas del propio sistema o con el algoritmo AES, tras lo cual se buscaban palabras clave relacionadas con bancos y criptomonedas. Además, se recopilaban datos de extensiones de monederos de criptomonedas.
Arkanix finalizaba el proceso de Telegram y archivaba el directorio con datos de usuario para enviarlo al servidor. Para Discord se contemplaban dos funciones: el robo de credenciales y el envío automático de mensajes a amigos y a canales a través del API oficial del servicio. En esos mensajes no se adjuntaban archivos, pero los enlaces maliciosos podían propagarse por la cadena.
El programa también buscaba datos de servicios populares de VPN, cuentas de plataformas de juegos, archivos de escritorio remoto con contraseñas guardadas y documentos en el escritorio y en la carpeta de descargas. En la lista de nombres de archivos de interés incluso se encontraban palabras en francés como motdepasse y banque, lo que indica un intento de alcanzar a usuarios de distintos países.
También existía una versión en C++ que se distribuía como «premium». Aplicaba técnicas de protección contra el análisis, desactivaba los mecanismos de control integrados de Windows y cifraba todo el tráfico con AES-GCM usando una clave derivada. En su interior se integró sin cambios el proyecto de código abierto ChromElevator, diseñado para extraer datos de los navegadores después de la infección. Este módulo se inyectaba en el proceso del navegador y obtenía la clave maestra para descifrar contraseñas y cookies.
La infraestructura incluía los dominios arkanix[.]pw y arkanix[.]ru, ocultos detrás del servicio Cloudflare. En ellos se alojaba el panel de control, protegido por una página de acceso. Para diciembre de 2025 tanto el panel como el servidor en Discord dejaron de funcionar sin ningún anuncio. El prometido «crypter» para ocultar los archivos maliciosos nunca apareció.
Los autores imitaban activamente el comportamiento de una empresa legítima. Publicaban encuestas sobre funciones futuras, prometían soporte técnico y lanzaron un programa de referidos con bonificaciones por clientes invitados. Por la estructura del código y elementos característicos del proyecto se puede suponer que en su desarrollo se utilizaron sistemas de generación automática de código, lo que pudo acelerar el lanzamiento del producto.
En definitiva, Arkanix resultó ser más bien una campaña de corta duración para obtener ganancias rápidas, que un proyecto duradero. En poco tiempo logró reunir un conjunto considerable de herramientas para robar datos bancarios, criptomonedas y cuentas de juegos. Luego desapareció, dejando tras de sí solo mensajes publicitarios en foros y huellas en los informes de investigadores.