Lo bonito no es sinónimo de seguro: cómo un paisaje en 4K puede revelar tus contraseñas a los hackers
Cibercriminales usaron Archive.org para distribuir virus de forma encubierta.
Un archivo de fondos de pantalla en alta resolución puede ser un punto de entrada para un ataque completo. A finales de febrero los especialistas detectaron una campaña en la que los atacantes utilizaron un servicio de archivos popular para entregar código malicioso de forma oculta, disfrazándolo como imágenes normales.
A finales de febrero los especialistas correlacionaron datos del servicio URLhaus y del sandbox Tria.ge y detectaron una campaña activa que utilizaba Archive.org como plataforma para distribuir la carga útil. Los operadores ocultan bibliotecas .NET con un inyector dentro de imágenes JPEG de 3840 por 2160 píxeles. Hasta el byte 1.390.750 el archivo sigue siendo una imagen habitual; a partir de ahí comienza una biblioteca codificada en base64, enmarcada por marcadores de texto.
Del 24 al 28 de febrero los atacantes volvieron a ensamblar y subir los archivos maliciosos diariamente mediante cuatro cuentas de Gmail. En cinco días se registraron 19 subidas. A veces el mismo archivo se publicaba desde distintas cuentas el mismo día. Los nombres y etiquetas eran conjuntos sin sentido, pero también aparecieron frases en portugués, lo que puede indicar el entorno lingüístico del operador.
Un archivo JavaScript ejecutaba wscript.exe, que en modo silencioso lanzaba PowerShell. El script descargaba la imagen desde Archive.org, extraía el bloque entre los marcadores IN- y -in1, decodificaba el base64 y cargaba la biblioteca .NET resultante directamente en la memoria mediante un mecanismo de carga reflectiva de ensamblados. La biblioteca se hacía pasar por Microsoft.Win32.TaskScheduler.dll versión 2.12.2.0 para .NET Framework 4.5, conservando los metadatos de la biblioteca legítima.
A continuación el inyector implantaba la carga útil en el proceso MSBuild. En un caso se cargó Remcos versión 7.1.0 Pro, que se conectaba al servidor systemcopilotdrivers.ydns.eu en el puerto 3001. En otro caso se empleó AsyncRAT versión 1.0.7 con conexión a securityhealthservice.ydns.eu en el puerto 1000. Ambos dominios apuntaban a la misma dirección IP 181.206.158.190, perteneciente al operador colombiano Colombia Movil. Ese mismo servidor también alojaba archivos intermedios.
Remcos activó el registro de pulsaciones y guardó los registros en la carpeta Copilotdrivers dentro del directorio AppData. Aunque en la configuración estática la bandera del keylogger estaba desactivada, el análisis del volcado de memoria mostró el inicio del módulo de interceptación justo después del arranque. AsyncRAT funcionó sin instalación en disco, recargando y volcando código cada minuto. En una variante alternativa de la campaña, ese mismo AsyncRAT obtenía la imagen no desde Archive.org sino desde el dominio hostphpwindowsapps.ydns.eu, alojado a través de un proveedor de VPN sueco.
El inyector usó el proyecto de código abierto Mandark, antes alojado en GitHub y promocionado en HackForums como una implementación compacta de la técnica RunPE en C#. En el código permanecía el espacio de nombres original HackForums.gigajew.Mandark. Para la inyección se usaron llamadas estándar CreateProcess, ZwUnmapViewOfSection, VirtualAllocEx y WriteProcessMemory. En compilaciones posteriores se añadió ofuscación de cadenas e se incrustó una clave RSA de 1024 bits cifrada con AES. La mayoría de las muestras detectadas se camuflaban como Microsoft.Win32.TaskScheduler.dll —esa misma máscara la registraron los investigadores en campañas relacionadas.
La infraestructura señala a un único operador. Desde abril de 2025 en la misma dirección IP se observó actividad de DCRat; en verano se sumó Remcos, y en febrero de 2026 apareció la combinación con AsyncRAT. Los nombres de directorios Nueva carpeta y del botnet Oct Respaldo, así como varios dominios con referencias a Medellín y realidades colombianas, completan el panorama.
Archive.org resultó una plataforma conveniente para este esquema. Un dominio de confianza, la ausencia de una verificación estricta del contenido y la posibilidad de volver a subir archivos con regularidad permitieron a los atacantes, durante varios días, mantener operativos de forma simultánea dos familias de troyanos de acceso remoto y cambiar la carga útil con rapidez sin alterar la cadena general de infección.