11 kilobytes, tres empresas y un alias: cómo un archivo modesto se convirtió en la puerta de entrada a todo un supermercado del crimen
Una revisión rutinaria destapa un esquema que claramente intentaban ocultar.
Un cargador Phorpiex de aspecto común condujo a los especialistas de Breakglass Intelligence a un hallazgo mucho mayor. Tras un archivo discreto de solo 11 KB se ocultaba una infraestructura donde operaban simultáneamente el robo de criptomonedas, la minería de Monero y el envío de correos de extorsión.
La muestra 8j5bsr.exe se subió a MalwareBazaar el 20 de abril de 2026. En su interior los especialistas encontraron siete enlaces codificados al servidor 178.16.54[.]109. El cargador descargaba ejecutables en la carpeta temporal de Windows, los ejecutaba y dejaba un indicador de infección. A primera vista el esquema recordaba la actividad habitual de Phorpiex, pero el servidor pronto entregó el conjunto completo de módulos de la nueva plataforma delictiva Needle.
Según Breakglass Intelligence, el operador eliminó los archivos aproximadamente ocho minutos después del primer acceso, pero el equipo logró obtener las siete cargas útiles. Entre ellas había el instalador de XMRig, el minero en sí, el recolector de archivos peinf.exe, el módulo de propagación de Phorpiex y varios componentes para campañas de spam. En peinf.exe encontraron la cadena TWIZTPEINF, que apunta al alias del operador TWIZT.
Needle resultó ser una plataforma completa de crimeware como servicio. El panel funcionaba con React, admitía varios idiomas, usaba tokens Bearer para el acceso y permitía crear ensamblajes personalizados de módulos maliciosos. El paquete incluía un ladrón de contraseñas, cookies, datos de tarjetas bancarias, autocompletado, tokens, historial del navegador, credenciales FTP, sesiones de Telegram y archivos de monederos. Además, la plataforma podía tomar capturas de pantalla, interceptar formularios y reemplazar direcciones de criptomonedas en el portapapeles.
El módulo principal de Needle fue identificado como la suplantación de monederos criptográficos en el navegador. La plataforma apuntaba a MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Rabby, Keplr, OKX Wallet y Brave Wallet. El informe indica soporte para Ethereum, BNB Chain, Polygon, Solana, Tron, Bitcoin, Litecoin, Dogecoin, Avalanche, Arbitrum, Optimism y Base. Un módulo separado trabajaba con monederos de escritorio Ledger, Trezor, Exodus, Atomic, Guarda, TonKeeper, Zelcore y Coinomi, y también podía guardar frases semilla.
En el mismo servidor operaba un pool privado Monero en el puerto 6060. El minero se ejecutaba con nombres parecidos a procesos del sistema Windows, limitaba la carga al 25% de la CPU y se persistía mediante la clave de inicio automático HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Config.
La segunda máquina, 130.12.180[.]190, servía como nodo para campañas de spam. Allí se almacenaban paquetes con pares email y contraseña. Según la estimación de Breakglass Intelligence, solo dos campañas entregaron más de 120 000 paquetes, lo que corresponde a aproximadamente 960 millones de entregas de credenciales teniendo en cuenta las repeticiones. En la muestra los dominios más frecuentes fueron web.de y videotron.ca.
Los módulos de spam enviaban correos de extorsión a través de cuentas SMTP comprometidas. A los destinatarios les amenazaban con publicar grabaciones íntimas y exigían $800 en Bitcoin. Al cierre del informe, la cartera BTC asociada no contenía transacciones, lo que indica una campaña reciente o aún fallida.
Estos hallazgos recuerdan que ni siquiera las amenazas relativamente antiguas deben descartarse. Detrás de un cargador conocido puede esconderse un nuevo ecosistema en el que cada módulo aporta ingresos independientes a los atacantes, y la rapidez de la respuesta de los analistas se vuelve decisiva.