«Hacker de 300 dólares» — ya no es una metáfora. Conozca al grupo que vende ciberarmas más baratas que un teléfono inteligente.
Cada vez más, los ciberdelincuentes ocultan sus negocios tras declaraciones políticas.
En el mercado del cibercrimen ha aparecido un grupo que vende herramientas peligrosas casi como software comercial. Infrastructure Destruction Squad se ampara en consignas políticas, pero al mismo tiempo obtiene ingresos con hackeos, vende acceso a redes y ofrece herramientas para ataques de extorsión.
Según los datos de KELA, Infrastructure Destruction Squad opera en Telegram al menos desde junio de 2025 y seguía activa en mayo de 2026. El grupo se presenta como una asociación hacktivista y publica mensajes en inglés, ruso y chino. En sus declaraciones aparecen motivos prochinos, antiestadounidenses, antiisraelíes, propalestinos y antiindios; sin embargo, la actividad real va mucho más allá de las acciones políticas.
En septiembre de 2025 Infrastructure Destruction Squad negó vínculos con el grupo Dark Engine. Según sus miembros, el canal de Telegram antes pertenecía a conocidos suyos, pero el equipo trabaja por separado. El grupo afirma que sus integrantes se encuentran en distintos países, principalmente en China, así como en Rusia, Bielorrusia y Estados Unidos.
El proyecto principal de Infrastructure Destruction Squad está relacionado con el software de extorsión BLACKNET-00. En febrero de 2026 el grupo declaró que BLACKNET-00 se ocupa solo del "beneficio económico", mientras que Infrastructure Destruction Squad supuestamente mantiene un enfoque político. Más tarde, en el foro PWN Forums, los participantes vincularon directamente ambos nombres, afirmando que Infrastructure Destruction Squad está detrás de BLACKNET-00.
BLACKNET-00 se vende como un constructor de malware de extorsión dirigido a personas sin habilidades de programación. Ofrece al comprador una interfaz gráfica, la posibilidad de compilar el programa con un solo clic, configurar el cifrado, desactivar medidas de protección, incluido Windows Defender, crear notas de rescate y códigos QR para el pago. La herramienta también permite robar contraseñas, datos de billeteras de criptomonedas, capturas de pantalla y acceder a la cámara web.
El precio del constructor cayó rápidamente de $2000 a $300. A diferencia del ransomware clásico en modelo de "red de afiliados", BLACKNET-00 se vende como una compra única con código fuente. Este enfoque muestra cuánto se ha vuelto competitivo el mercado de herramientas de extorsión y cuán rápido estos medios pasan a manos de delincuentes menos experimentados.
KELA observó dos objetivos importantes declarados por BLACKNET-00 en abril de 2026. Entre ellos, la Administración Federal de Aviación de Estados Unidos y la empresa egipcia Zaidus Real Estate Investment and General Contracting Company. En el segundo caso los atacantes afirmaron haber robado 20 GB de documentos sobre empleados en Egipto y Arabia Saudita, y luego pidieron un rescate de $20 000.
Hasta ahora no se ha detectado un sitio independiente de BLACKNET-00 donde publicar las filtraciones. El grupo publica sus anuncios sobre víctimas en Telegram y en PWN Forums. Los especialistas de KELA consideran que esa infraestructura podría desarrollarse más adelante si el proyecto sigue creciendo.
Infrastructure Destruction Squad también promovió otra herramienta llamada EXTERMINATOR. La anunciaban en dos versiones: para redes corporativas y para usuarios particulares. En el mercado actual de malware de extorsión ese enfoque hacia particulares resulta inusual, ya que la mayoría de grupos buscan grandes pagos corporativos.
El arsenal del grupo no se limita al ransomware. En agosto de 2025 los miembros anunciaron VoltRuptor por $25 000 como una herramienta para buscar vulnerabilidades y propagarse en redes industriales. En febrero de 2026 apareció TRK25 Advanced SCADA por $500 para escanear direcciones industriales y buscar vulnerabilidades en sistemas de control. En mayo de 2026 el grupo presentó BLAIIS-820 por $400 para atacar servidores IIS y las interfaces industriales relacionadas.
Separadamente, Infrastructure Destruction Squad promovió BankGhost Builder por $300. Según la descripción de los vendedores, la herramienta apunta a más de 700 organizaciones financieras y soporta páginas de inicio de sesión falsas, la posibilidad de eludir la verificación de doble factor, sustituir datos en el portapapeles, enviar mensajes masivos, registrar pulsaciones de teclas y recopilar archivos en distintos formatos.
La historia de Infrastructure Destruction Squad muestra cómo se borra la línea entre el hacktivismo y la ciberdelincuencia. Las consignas políticas ayudan al grupo a construir una imagen reconocible, y los constructores baratos de software malicioso abren el acceso a ataques destructivos a personas sin seria formación técnica. Según KELA, en 2026 este tipo de agrupaciones híbridas se verán con más frecuencia.