La semana pasada, el equipo de la empresa alemana de ciberseguridad G-Data, especializada en el desarrollo de software antivirus y soluciones de seguridad informática, publicó una detallada investigación sobre malware que había infectado los controladores oficiales de las impresoras de la marca Procolored, con capacidad de robar criptomonedas.
Y es que, se descubrió que los controladores y el software complementario distribuidos por Procolored, una marca de impresoras fabricada por Tiansheng con sede en Shenzhen, China, contenían malware diseñado para robar criptomonedas y también incluían una puerta trasera (backdoor) para sistemas Windows.
Este problema fue inicialmente detectado por el YouTuber, Cameron Coward (también conocido como Serial Hobbyism) mientras revisaba una impresora UV de Procolored que había comprado, por un costo de 6.000 dólares. De hecho, Coward es escritor en Hackster News y allí publicó su hallazgo sobre esta impresora del fabricante chino.
El software antivirus de Coward, alertó sobre la presencia de malware tanto en la unidad USB incluida con la impresora como en los archivos descargados del sitio web oficial de Procolored. Aunque, la empresa de impresoras Procolored le aseguró inicialmente que se trataba de falsos positivos, por haber sido escritos en idioma chino simplificado, Cameron no quedó conforme con la respuesta.
De allí que, Cameron recurrió a Reddit para encontrar un analista de malware profesional que pudiera descubrir la verdad. En esa plataforma, Karsten Hahn, investigador principal de malware de G-Data, vio la historia y de inmediato procedió a analizar los controladores.
De acuerdo con Hahn, en primer lugar analizó las descargas de estos controladores en el sitio web público de Procolored. Allí el antivirus “le alertó de un gusano que se propaga por USB y de una infección por Floxif”.
“Floxif es un virus que infecta archivos que se adjunta a archivos ejecutables portátiles (EPB), por lo que puede propagarse a recursos compartidos de red, unidades extraíbles como memorias USB o sistemas de almacenamiento de copias de seguridad”, dice el reporte de Hahn.
Allí descubrió dos tipos de Malware principalmente, XRedRAT y SnipVex. El primero es un troyano de acceso remoto (RAT) basado en Delphi con capacidades de registro de teclas, captura de pantalla, manipulación de archivos y acceso a shell remoto. Aunque la variante descubierta estaba vinculada a servidores de comando y control fuera de línea desde principios de 2024, su presencia en el software distribuido es significativa.
El segundo malware fue calificado como un nuevo tipo de “clipbanker” y ladrón de criptomonedas basado en .NET. Este se adhiere a archivos ejecutables de Windows y monitorea silenciosamente el portapapeles. Si un usuario copia una dirección de Bitcoin, SnipVex la reemplaza con una controlada por el atacante, desviando así las transacciones de criptomonedas.
Allí es donde entra la plataforma de análisis y cumplimiento de criptomonedas, MistTrack, que fue desarrollada por el equipo de SlowMist, la cual funciona como una herramienta para el seguimiento de criptoactivos y la lucha contra el lavado de dinero (AML). MistTrack, tras leer la historia en el medio chino Blue Dot Network, se involucró para obtener detalles de los robos.
The official driver provided by this printer carries a backdoor program. It will hijack the wallet address in the user’s clipboard and replace it with the attacker’s address: 1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj
️ According to @MistTrack_io, the attacker has stolen 9.3086… https://t.co/DHCkEpHhuH pic.twitter.com/W1AnUpswLU
— MistTrack️ (@MistTrack_io) May 19, 2025
Es por ello, que en la cuenta de MistTrack en la plataforma X, se publicó un breve análisis de la dirección de Bitcoin (BTC) del atacante, la cual es utilizada para enviar los fondos robados por su clipbanker, SnipVex, en aquellas computadoras infectadas, que hayan instalado los controladores de las impresoras de Procolored, así como también, información sobre cómo operaba este malware de robo de direcciones de billeteras
“ El controlador oficial proporcionado por esta impresora contiene un programa de puerta trasera. Este secuestrará la dirección de la billetera en el portapapeles del usuario y la reemplazará con la dirección del atacante: 1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj”
“️ Según @MistTrack_io, el atacante ha robado 9.3086 $BTC. Activo desde el 22 de abril de 2016, visto por última vez el 14 de marzo de 2024, con enlaces a múltiples plataformas de intercambio”, escribió MistTrack en su publicación en X.
MistTrack, aunque no estuvo directamente involucrada en la detección inicial del malware en los controladores de Procolored, se involucró para rastrear los fondos robados si los atacantes logran desviar transacciones de criptomonedas utilizando el malware SnipVex, estableciendo que los atacantes, habían robado 9.3086 BTC hasta la fecha, es decir, unos 987.539,13 dólares aproximadamente a un cambio de 106,088.90 dólares por cada BTC, al momento de escribir esta nota.
De acuerdo con el análisis de G-Data, estos malware se distribuyeron a través de paquetes de software alojados en mega.nz y enlaces ZED proporcionados por Procolored, y también se incluyó preinstalado en unidades USB con los envíos de impresoras. Se cree que al menos seis modelos de impresoras de la marca se vieron afectados.
Si bien es cierto, que inicialmente, Procolored negó la existencia de malware en sus descargas de software, tras conocer el análisis de G-Data, retiraron temporalmente todo el software de su sitio web oficial e iniciaron una investigación interna.
Afirmaron que el malware pudo haberse introducido durante el proceso de transferencia de software a través de unidades USB y realizaron un escaneo exhaustivo de todos los archivos antes de volver a cargarlos en las unidades y publicarlos nuevamente en línea.
Se recomienda a los usuarios que hayan descargado controladores de impresoras Procolored en los últimos seis meses que realicen inmediatamente un análisis completo del sistema con un software antivirus actualizado. Dada la naturaleza del malware, se sugiere una reinstalación completa del sistema operativo como la medida más segura para garantizar la eliminación total de la infección.
En todo caso, siempre se debe entender, que cualquier equipo que se utiliza para conectar un hardware de almacenamiento externo o para mover fondos de una billetera en línea, debería ser un equipo aislado, que no se utilice para otro fin, que mover criptomonedas desde billeteras por hardware, por software o vía Web.
Además, los controladores infectados con malware, han estado disponibles para descarga durante aproximadamente seis meses en la empresa Procolored. Sin embargo, G-Data estableció que dicha dirección de BTC, ha estado en uso desde 2016.
Este incidente subraya la importancia de ser cauteloso al descargar software, incluso de fuentes oficiales de fabricantes de hardware, y de mantener el software antivirus actualizado.