La amenaza silenciosa que más crece en 2025
Mientras muchas organizaciones centran su estrategia defensiva en ransomware y ataques de denegación de servicio, hay una categoría de malware que ha crecido exponencialmente hasta convertirse en la más desplegada del panorama actual: los infostealers. Según datos recientes del sector, este tipo de malware fue responsable del robo de 1.800 millones de credenciales en 2025, afectando a casi 6 millones de dispositivos.
Lo preocupante es que estas cifras no paran de crecer. El informe de Verizon DBIR señala que el 32% de las brechas globales involucran credenciales robadas, muchas de ellas obtenidas precisamente mediante infostealers. Más alarmante aún: el 54% de las víctimas de ransomware tenían credenciales de su dominio corporativo expuestas en mercados de logs de infostealers antes de ser atacadas.
En este contexto, un nuevo actor ha llamado la atención de investigadores de Kaspersky, G DATA y otros laboratorios de seguridad: Arkanix Stealer.
¿Qué es Arkanix Stealer?
Arkanix es un infostealer descubierto en octubre de 2025 que operaba bajo el modelo Malware-as-a-Service. Sus creadores lo publicitaban abiertamente en foros de la dark web y gestionaban la comunicación con sus “clientes” a través de un servidor de Discord, ofreciendo un panel de control configurable, generación de payloads personalizada e incluso un programa de referidos para captar más afiliados.
El malware se distribuía en dos variantes: una versión básica escrita en Python y una versión premium desarrollada en C++ con protección VMProtect. Lo que hace particularmente interesante a Arkanix no es sólo su funcionalidad, sino lo que revela sobre la evolución del ecosistema criminal.
¿Qué datos roba Arkanix?
La lista de capacidades es extensa y bien diseñada para maximizar el beneficio económico:
Navegadores (22 compatibles)
Historial, autocompletado, contraseñas almacenadas, cookies, datos OAuth2 y tarjetas de crédito guardadas. Soporta Chrome, Edge, Opera, Vivaldi, Tor, Yandex y muchos más. Además, realiza búsquedas dirigidas de palabras clave relacionadas con banca (Revolut, Stripe) y criptomonedas (Binance, MetaMask).
Carteras de criptomonedas
Recopila datos de extensiones de navegador de wallets (MetaMask, Exodus, Binance, Oxygen, entre otras) y de wallets de escritorio. La versión premium incluye un módulo wallet patcher capaz de manipular Exodus y Atomic Wallet.
Credenciales WiFi
Utiliza el comando nativo netsh wlan show profiles para volcar las contraseñas de todas las redes WiFi almacenadas en el equipo en texto claro.
VPN
Extrae credenciales de Mullvad, NordVPN, ExpressVPN y ProtonVPN.
Telegram y Discord
Finaliza el proceso de Telegram para copiar la carpeta tdata completa. Roba tokens de Discord y, si la funcionalidad de auto-propagación está activada, envía el malware a los contactos y canales de la víctima.
Información del sistema
Versión del SO, CPU, GPU, memoria, resolución de pantalla, zona horaria, layout de teclado y software antivirus instalado.
Archivos locales
Busca y exfiltra documentos del Escritorio, Descargas y Documentos, especialmente los que contienen palabras como “password”, “banque”, “secret” en sus nombres.
Plataformas gaming
Epic Games, Battle.net, Riot, Ubisoft Connect, GOG, Steam y FileZilla.
Lo que hace a Arkanix especialmente relevante
1. Desarrollo posiblemente asistido por IA
Los investigadores de Kaspersky encontraron trazas que sugieren que Arkanix fue desarrollado con asistencia de modelos de lenguaje (LLMs). Esto no es anecdótico: significa que la IA generativa podría estar reduciendo drásticamente los tiempos y costes de desarrollo de malware, permitiendo que actores con experiencia moderada lancen herramientas funcionales y sofisticadas en cuestión de semanas.
2. Evasión de protecciones modernas del navegador
La variante C++ de Arkanix integra ChromElevator, una herramienta de post-explotación que inyecta código en procesos del navegador suspendidos para evadir la App-Bound Encryption (ABE) de Google Chrome, una de las protecciones más recientes diseñadas para impedir que aplicaciones externas descifren datos del navegador.
3. Técnicas anti-análisis avanzadas
La versión premium implementa detección de sandboxes y depuradores, parcheo de AMSI (Antimalware Scan Interface) y ETW (Event Tracing for Windows) para evadir la detección, y auto-eliminación del disco una vez completada la exfiltración.
4. Modelo de negocio profesionalizado
Arkanix no se comportaba como malware clandestino, sino como un producto de software comercial: actualizaciones frecuentes, encuestas a usuarios, programa de referidos con días de prueba gratuitos y comunicación activa con la comunidad de afiliados.
Análisis técnico en profundidad
Más allá de las capacidades de robo de datos, Arkanix presenta una serie de detalles técnicos que resultan especialmente valiosos para equipos de detección y respuesta.
Cadena de infección y comportamiento del loader
El vector de infección inicial se basa en ingeniería social a través de Discord, utilizando señuelos como steam_account_checker_pro_v1.py, discord_nitro_checker.py o TikTokAccountBotter.exe. El loader Python, antes de ejecutar cualquier payload malicioso, instala dependencias mediante pip usando el módulo subprocess: concretamente requests, pycryptodome, psutil y pywin32 en sistemas Windows. Esta instalación de paquetes vía pip en tiempo de ejecución es un indicador de comportamiento anómalo fácilmente detectable por un EDR bien configurado.
Antes de iniciar el robo de datos, el loader realiza un POST a hxxps://arkanix[.]pw/api/session/create para registrar la máquina comprometida en el panel de control, incluso si la instalación de dependencias ha fallado. El payload real se descarga de hxxps://arkanix[.]pw/stealer.py y se ejecuta directamente en memoria, condicionado a que la sesión HTTP lleve un token válido. Este diseño en memoria dificulta el análisis forense post-incidente si no se cuenta con volcados de memoria.
Configuración dinámica desde el panel C2
Un aspecto diferenciador de Arkanix es que las features de robo no están hardcodeadas en el binario. El operador configura desde el panel qué datos recopilar en cada campaña: información del sistema, historial del navegador, autocompletado, datos VPN, cuentas de Steam, capturas de pantalla, datos de Telegram o auto-propagación por Discord. Esto significa que dos muestras del mismo malware pueden tener comportamientos radicalmente distintos, complicando la creación de firmas estáticas.
Infraestructura C2 y exfiltración
La operación utilizaba una infraestructura dual: el dominio principal arkanix[.]pw exponía su IP real, mientras que arkanix[.]ru operaba detrás de Cloudflare, alojando el panel protegido. Los datos exfiltrados se enviaban cifrados usando AES-GCM con derivación de claves PBKDF2 a través de las rutas /api/upload/direct y /delivery, con el User-Agent fijo ArkanixStealer/2.0. La exfiltración se realiza de forma asíncrona: mientras unos archivos se suben al C2, el stealer continúa recopilando datos en paralelo.
Técnicas anti-análisis (versión C++ premium)
La variante nativa implementa un arsenal completo de evasión, mapeado a las siguientes técnicas MITRE ATT&CK:
T1055 – Process Injection: Utiliza syscalls directas de Nt (no las APIs de alto nivel de Windows) para inyectar código en procesos del navegador. Esto evade los hooks de user-mode que implementan la mayoría de soluciones EDR. ChromElevator lanza un proceso de Chrome suspendido e inyecta en él para operar desde dentro del contexto del navegador, eludiendo la App-Bound Encryption.
T1497 – Virtualization/Sandbox Evasion: Comprueba si se ejecuta dentro de un entorno virtualizado o bajo un depurador antes de desplegar las capacidades maliciosas.
T1562.001 – Impair Defenses: Parchea en memoria las funciones AmsiScanBuffer (para evadir el escaneo AMSI de scripts y código .NET) y EtwEventWrite (para silenciar los eventos ETW que consumen las herramientas de detección). Esto neutraliza dos pilares fundamentales de la telemetría de seguridad en Windows.
T1070.004 – Indicator Removal: Una vez completada la exfiltración, el stealer elimina su propio binario y la carpeta de artefactos temporales (Arkanix_lol) del disco. Sin monitorización de filesystem en tiempo real, las evidencias desaparecen.
Indicadores de compromiso (IoCs) clave
Para equipos de detección, estos son los indicadores más relevantes:
Hashes conocidos: 6ea644285d7d24e09689ef46a9e131483b6763bc14f336060afaeffe37e4beb5 (versión Python)
Dominios C2: arkanix[.]pw, arkanix[.]ru
Rutas de comunicación: /api/session/create, /api/upload/direct, /stealer.py, /delivery
User-Agent: ArkanixStealer/2.0
Comandos sospechosos en endpoint: Ejecución de netsh wlan show profiles seguida de key=clear para cada perfil, instalación de paquetes pip en contextos no habituales (requests, pycryptodome fuera de entornos de desarrollo).
Comportamiento de red: Conexiones HTTPS a dominios recientes con exfiltración asíncrona de archivos comprimidos, consultas a ipapi.co para geolocalización de la víctima.
La vida corta de Arkanix no es buena señal
Dos meses después de su lanzamiento, los creadores de Arkanix desmantelaron su infraestructura sin previo aviso. Los dominios dejaron de funcionar y el servidor de Discord fue cerrado. Podría parecer una buena noticia, pero los expertos coinciden en que es precisamente lo contrario.
El modelo de campañas de “golpe rápido” (hit-and-run) es una tendencia creciente: los actores de amenazas lanzan operaciones diseñadas para generar ganancias inmediatas, operan durante pocas semanas y desaparecen antes de que la comunidad de seguridad pueda reaccionar. Esto hace que la detección y atribución sea exponencialmente más difícil.
¿Qué podemos aprender?
La amenaza de los infostealers requiere una estrategia de defensa en capas. Estas son las medidas clave que recomendamos:
Gestión de credenciales robusta
Implementa un gestor de contraseñas corporativo y elimina el almacenamiento de credenciales en navegadores. Los datos de autocompletado son el primer objetivo de cualquier infostealer.
MFA resistente a phishing
Las contraseñas de un solo uso (OTP) ya no son suficientes frente al robo de cookies de sesión y tokens OAuth2. Evalúa soluciones basadas en FIDO2/WebAuthn.
Monitorización de credenciales expuestas
Implementa servicios de Threat Intelligence que monitoricen la aparición de credenciales corporativas en mercados de logs. Recuerda: el tiempo medio entre la exposición de un log y un ataque de ransomware se ha reducido a menos de 48 horas en muchos casos.
Control de ejecución y EDR
Bloquea la ejecución de binarios no firmados o desconocidos. Monitoriza comportamientos típicos de infostealers como la lectura masiva de bases de datos del navegador, volcado de perfiles WiFi o exfiltración asíncrona de archivos.
Segmentación y privilegio mínimo
Limita los permisos de usuario y aísla los sistemas de alto riesgo. Una credencial robada no debería ser una puerta abierta a toda la infraestructura.
Concienciación específica
Forma a tu equipo sobre los vectores de distribución más comunes: herramientas “gratuitas” en Discord, cracks de software, checkers de cuentas y cualquier ejecutable compartido por canales no oficiales.
Conclusión
Arkanix Stealer es solo el síntoma de una tendencia más amplia. El ecosistema del cibercrimen se está industrializando a un ritmo sin precedentes, con modelos de negocio que replican las mejores prácticas del software comercial, asistencia de IA para acelerar el desarrollo y campañas diseñadas para operar por debajo del radar.
Las credenciales robadas son hoy el combustible que alimenta desde fraudes financieros hasta ataques de ransomware a gran escala. Protegerlas ya no es opcional: es la base sobre la que se construye toda la postura de seguridad de una organización.
En un escenario donde los infostealers evolucionan más rápido que muchas capacidades defensivas, contar con visibilidad, inteligencia y respuesta ágil ya no es opcional. En OneCyber ayudamos a organizaciones a anticiparse a este tipo de amenazas mediante servicios especializados de Threat Intelligence, monitorización de credenciales expuestas y despliegue de estrategias de detección y respuesta adaptadas al contexto actual. Porque en el nuevo paradigma del cibercrimen, la diferencia entre ser víctima o no depende de cuánto antes seas capaz de ver lo que otros aún no han detectado.
