Cómo los hackers usan páginas falsas de código abierto para secuestrar clics y distribuir malware sin ser detectados

El veneno técnico se activa justo cuando el usuario interactúa. Al hacer clic sobre el botón de descarga, una capa de JavaScript alojada en la infraestructura de CloudFront intercepta esa primera acción y la convierte en una redirección silenciosa. Ese clic ya no baja el instalador esperado, sino que introduce a la víctima en la antesala del TDS .

El guardián invisible: cómo el TDS selecciona solo a las mejores víctimas

El verdadero músculo de esta campaña reside en el Sistema de Distribución de Tráfico (TDS). No es un mero redireccionador, sino una pasarela con un filtro de admisión muy estricto. El análisis de Check Point revela que el TDS aplica múltiples capas de verificación anti-análisis para separar el trigo de la paja: distingue a una persona real de un investigador de ciberseguridad, de un entorno aislado ('sandbox') o del rastreador automático de un antivirus. Solo los usuarios que superan todos los filtros son conducidos a la carga maliciosa final .

Esta entrega selectiva vuelve la campaña extremadamente difícil de mapear y eleva el valor de cada infección exitosa. Para hacer aún más opaco el sistema, los operadores recurren a técnicas como claves de sesión efímeras y la liberación de claves de un solo uso, de forma que un analista no puede reproducir la infección simplemente revisitando la misma URL .

El trío de 'malware': RemusStealer, AnimateClipper y SessionGate

Una vez que el TDS da luz verde, la campaña puede servir tres familias de 'malware' distintas, cada una con un modelo de negocio criminal muy definido. No compiten entre sí; son líneas de monetización complementarias.

• RemusStealer: Se comercializa como un 'infostealer' por suscripción, al estilo Malware-como-Servicio (MaaS), con precios que oscilan entre 250 y 500 dólares. Su ambición es total: está diseñado para extraer credenciales de más de 20 navegadores, información de más de 220 extensiones de monederos de criptomonedas, gestores de contraseñas y herramientas de autenticación en dos factores (2FA) .
• AnimateClipper: Es un 'clipper', una herramienta muy quirúrgica. Su función no es robar archivos, sino vigilar el portapapeles del sistema. Cuando detecta que el usuario ha copiado una dirección de un monedero de criptomonedas, la sustituye en tiempo real por una dirección controlada por el atacante. Es capaz de monitorizar y desviar transacciones en más de 20 ecosistemas 'blockchain' diferentes .
• SessionGate: Hasta este informe, era un marco de trabajo indocumentado. Actúa como un cargador multi-etapa que abusa de técnicas de ofuscación muy agresivas y despliega barreras anti-análisis antes de lanzar la carga final, que suelen ser aplicaciones potencialmente no deseadas (PUA) o la puerta de entrada para que otros actores instalen su propio 'malware' .

Una operación global con más de un año de vida

La escala del ataque no es menor. La investigación de Check Point sitúa el inicio de este ecosistema a finales de 2025. En ese tiempo, ha generado más de 5.000 cargas únicas subidas a la plataforma de análisis VirusTotal, lo que indica un volumen de víctimas muy considerable. La actividad maliciosa se concentra especialmente en Turquía, Polonia, Brasil y Alemania, aunque también registra picos en Francia, Rusia y el Reino Unido .

Para el profesional de la ciberseguridad y el desarrollador, no hay margen para la confianza visual. Ya no basta con que la página parezca correcta. La recomendación es tajante: no descargues nunca una herramienta desde un enlace patrocinado ni desde una web de terceros. Hay que teclear directamente la URL del repositorio oficial, visitar manualmente la página de GitHub o GitLab del proyecto y desconfiar si la descarga no entrega de inmediato el archivo esperado sin pasos intermedios ni redirecciones extrañas. La calidad gráfica de estas réplicas convierte la simple vista en un mecanismo de defensa insuficiente frente a un negocio criminal que se financia secuestrando la reputación de las herramientas que usamos a diario.