El fantasma del malware informático ha vuelto a mutar, demostrando que las tácticas del pasado, cuando se combinan con la infraestructura de anonimato del presente, pueden ser devastadoras y es que el equipo de investigación de Microsoft Threat Intelligence ha emitido una alerta urgente sobre una sofisticada campaña de malware que lleva activa desde febrero de 2026.
Se trata de un crypto clipper híbrido que no solo secuestra el portapapeles para desviar transacciones de activos digitales, sino que resucita una de las estrategias de infección más efectivas de la vieja escuela como la propagación autónoma a través de dispositivos de almacenamiento USB.
A diferencia de los troyanos convencionales que dependen de correos electrónicos de phishing o de descargas en páginas web dudosas, esta amenaza ha decidido asaltar el mundo físico porque al infiltrarse mediante memorias externas, el código malicioso elude gran parte de las defensas perimetrales de las redes corporativas y hogareñas, convirtiendo un simple intercambio de archivos de oficina en un desastre financiero.
El vector de ataque destaca por su simplicidad visual y su complejidad técnica porque cuando una unidad USB infectada se introduce en un ordenador limpio, el componente de gusano del malware entra en acción inmediatamente.
El código del virus escanea el dispositivo en busca de documentos legítimos y frecuentes, tales como archivos de Word (.doc y .docx), hojas de cálculo (.xls y .xlsx), archivos .txt y manuales en formato .pdf, los cuales, una vez localizados, son ocultados sus los archivos originales en el sistema de archivos de la memoria y, simultáneamente, genera archivos de acceso directo de Windows (con extensión .lnk) que llevan exactamente el mismo nombre y el mismo icono que los documentos originales.
Para el ojo humano, no ha cambiado nada; el usuario ve sus archivos de siempre. Sin embargo, al hacer doble clic en lo que cree que es un informe de trabajo o una factura, la víctima ejecuta en segundo plano una serie de argumentos ocultos que desencadenan la infección.
Una vez que el usuario muerde el anzuelo, el virus despliega su infraestructura dentro del directorio C:\Users\Public\Documents\, utilizando carpetas y scripts con nombres aleatorios de cinco caracteres para camuflarse.
El rigor de su diseño es tal que incluye módulos de ofuscación multicapa mediante herramientas como PyArmor y empaquetados de PyInstaller, reduciendo drásticamente la capacidad de los motores antivirus tradicionales para detectar el código mediante firmas estáticas.
Además, el programa realiza consultas constantes para verificar si el Administrador de Tareas de Windows (Task Manager) está abierto; si detecta que el usuario intenta monitorizar los procesos del sistema, el malware se apaga de inmediato para frustrar cualquier análisis manual.
Una vez asentado mediante tareas programadas que garantizan su persistencia perpetua en el sistema operativo, el objetivo financiero se pone en marcha. El componente clipper monitorea de forma continua el portapapeles del dispositivo afectado, realizando barridos a una velocidad alarmante de cada 500 milisegundos.
El virus busca patrones alfanuméricos que correspondan a direcciones de redes como Bitcoin (BTC), Tron (TRX) y Monero (XMR), o a frases semilla de recuperación basadas en el estándar BIP39 (de 12 o 24 palabras), de manera que si un usuario abre un bloc de notas para respaldar sus claves, o copia la dirección de un intercambio (exchange) para fondear su billetera, el portapapeles es alterado de forma instantánea.
El nivel de sofisticación en la sustitución de direcciones es meticuloso para evitar levantar sospechas visuales rápidas, porque usa Bitcoin Legacy y P2SH. Básicamente, el malware analiza los caracteres iniciales y reemplaza la cadena por una dirección del atacante que coincide exactamente en los dos primeros caracteres (por ejemplo, comenzando con 1 o 3).
Incorpora formatos modernos (Taproot y Bech32), en las direcciones que inician con bc1p o bc1q, porque el algoritmo busca coincidencias específicas en los caracteres de cierre para mantener una similitud geométrica a primera vista.
Además, el script valida las longitudes exactas de las criptomonedas Tron y Monero (34 caracteres para Tron y 95 para Monero) antes de inyectar la dirección de la billetera bajo control del ciberdelincuente.
Cuando el usuario hace clic en “pegar” en su interfaz de envío, la dirección que aparece en pantalla pertenece al atacante, por lo que si la víctima no verifica minuciosamente carácter por carácter antes de firmar la transacción, los fondos se pierden de forma irreversible en la cadena de bloques, cayendo en manos de los atacantes.
Lo que eleva a este clipper a la categoría de amenaza crítica es su infraestructura de Comando y Control (C2), ya que Microsoft reveló que el malware empaqueta y despliega su propio cliente portátil de la red anónima Tor, camuflado bajo el nombre de proceso ugate.exe.
Al redirigir todo el tráfico de red mediante un proxy SOCKS5 local en el puerto localhost:9050, las comunicaciones hacia los servidores de los atacantes se canalizan exclusivamente a través de dominios ocultos .onion.
Esto inhabilita por completo los bloqueos de red basados en reputación de direcciones IP o inspección de DNS tradicionales, porque a través de este túnel cifrado, los criminales no solo reciben las frases semilla robadas, sino que el malware extrae ráfagas de cinco capturas de pantalla consecutivas (separadas por diez segundos) para ofrecer a los operadores un contexto visual de los balances económicos de la víctima. Peor aún, el comando de control incluye la función EVAL, transformando este aparente software de robo en una puerta trasera de ejecución remota de código capaz de instalar amenazas secundarias a voluntad del atacante.
La persistencia de vectores físicos como el USB demuestra que la seguridad informática sigue dependiendo del eslabón humano, así que para blindar los entornos operativos frente a esta campaña activa, la comunidad de defensores de software aconseja aplicar restricciones drásticas de inmediato.
En primer lugar, es imperativo deshabilitar las funciones de ejecución automática (AutoRun/AutoPlay) para cualquier tipo de almacenamiento extraíble en los equipos de escritorio. Asimismo, a nivel corporativo o institucional, se debe implementar la prohibición de ejecución de archivos de acceso directo (.lnk) originados en dispositivos externos a través de Políticas de Grupo (GPO).
Finalmente, en el ámbito operativo de las criptomonedas, la regla de oro se mantiene inalterable: la memoria del portapapeles de un sistema operativo convencional debe asumirse siempre como una zona hostil.
La verificación manual de los datos de destino directamente en pantallas físicas de custodia —o el cotejo estricto de los caracteres de las claves— sigue siendo la última línea de defensa efectiva contra la invisibilidad del código script.