Los investigadores de ciberseguridad están llamando la atención sobre una nueva ola de campañas que distribuyen un robador de información basado en Python llamado PXA Stealer.
Se ha evaluado que la actividad maliciosa es el trabajo de los cibercriminales de acento vietnamita que monetizan los datos robados a través de un ecosistema subterráneo basado en suscripción que automatiza la reventa y la reutilización a través de las API de telegrama, según un mensaje conjunto publicado por Beazley Security y Sentinelone y compartido con Hacker News.
“Este descubrimiento muestra un brinco en Tradecraft, que incorpora técnicas anti-análisis más matizadas, contenido de señuelo no ladino y una tubería de comando y control endurecida que frustra el triaje e intenta retrasar la detección”, los investigadores de seguridad Jim Walter, Alex Delamotte, Francisco Donoso, Sam Mayers, Tell Hause y Bobby Vendible.
Las campañas han infectado en más de 4,000 direcciones IP únicas que abarcan 62 países, incluidos Corea del Sur, Estados Unidos, los Países Bajos, Hungría y Austria. Los datos capturados a través del robador incluyen más de 200,000 contraseñas únicas, cientos de registros de tarjetas de crédito y más de 4 millones de cookies cosechadas del navegador.
PXA Stealer fue documentado por primera vez por Cisco Talos en noviembre de 2024, atribuyéndolo a ataques dirigidos a entidades gubernamentales y educativas en Europa y Asia. Es capaz de cosechar contraseñas, datos de enfoque necesario del navegador, información de billeteras de criptomonedas e instituciones financieras.
Los datos robados por el malware que usan Telegram como un canal de exfiltración se alimentan a plataformas criminales como Sherlock, un proveedor de registros de Stealer, desde donde los actores de amenaza aguas debajo pueden comprar la información para participar en el robo de criptomonedas o las organizaciones de infiltrado para fines de seguimiento, impulsar un ecosistema cibernético que funciona a escalera.
Las campañas que distribuyen el malware en 2025 han sido testigos de una proceso táctica constante, con los actores de amenaza que emplean técnicas de carga colateral de DLL y capas de puesta en espectáculo elaboradas en un esfuerzo por esfumarse bajo el radar.
La DLL maliciosa se encarga de tolerar a punta el resto de los pasos en la secuencia de infección, en última instancia allanando el camino para el despliegue del robador, pero no antaño de tomar medidas para mostrar un documento de señuelo, como un aviso de infracción de derechos de autor, a la víctima.
El Stealer es una lectura actualizada que cuenta con capacidades para extraer cookies de navegadores web basados en Chromium inyectando una DLL en instancias en ejecución con el objetivo de derrotar a las salvaguardas de secreto unidas a las aplicaciones. Además plunda datos de clientes VPN, utilidades de la interfaz de andana de comandos de la abundancia (CLI), filos de archivos conectados y aplicaciones como Discord.
“PXA Stealer usa los botids (almacenados como token_bot) para establecer el vínculo entre el bot principal y los diversos chatid (almacenados como chat_id)”, dijeron los investigadores. “Los Chatids son canales de telegrama con varias propiedades, pero principalmente sirven para introducir datos exfiltrados y proporcionar actualizaciones y notificaciones a los operadores”.
“Desde entonces, esta amenaza ha madurado en una operación mucho evasiva y de varias etapas impulsada por actores de acento vietnamita con vínculos aparentes con un mercado organizado basado en el telegrama cibercriminal que vende datos de víctimas robados”.
