Los investigadores de ciberseguridad han trazado la evolución del malware XWorm y lo han convertido en una herramienta versátil para respaldar una amplia gama de acciones maliciosas en los servidores comprometidos.
«El diseño modular de XWorm se basa en un cliente central y una serie de componentes especializados conocidos como complementos», afirman Niranjan Hegde y Sijo Jacob, investigadores de Trellix dijo en un análisis publicado la semana pasada. «Estos complementos son esencialmente cargas útiles adicionales diseñadas para llevar a cabo acciones dañinas específicas una vez que el malware principal esté activo».
Gusano, observado por primera vez en 2022 y vinculada a un actor de amenazas llamado EvilCoder, es una navaja suiza de malware que puede facilitar el robo de datos, el registro de teclas, la captura de pantalla, la persistencia e incluso las operaciones de ransomware. Se propaga principalmente a través de correos electrónicos de suplantación y sitios falsos publicidad de instaladores maliciosos de ScreenConnect.
Algunas de las otras herramientas anunciadas por el desarrollador incluyen un generador de malware basado en .NET, un troyano de acceso remoto llamado XBinder y un programa que puede eludir las restricciones del Control de cuentas de usuario (UAC) en los sistemas Windows. En los últimos años, el desarrollo de XWorm ha estado a cargo de una persona en línea llamada XCoder.
En un informe publicado el mes pasado, Trellix detallada cambiando las cadenas de infección de XWorm que han utilizado archivos de acceso directo de Windows (LNK) distribuidos a través de correos electrónicos de suplantación de identidad para ejecutar comandos de PowerShell que eliminan un archivo TXT inofensivo y un ejecutable engañoso que se hace pasar por Discord, que finalmente lanza el malware.
XWorm incorpora varios mecanismos antianálisis y antievasión para comprobar si hay señales reveladoras de un entorno virtualizado y, de ser así, detener inmediatamente su ejecución. La modularidad del malware permite emitir varios comandos desde un servidor externo para realizar acciones como apagar o reiniciar el sistema, descargar archivos, abrir direcciones URL e iniciar ataques DDoS.
«Esta rápida evolución de XWorm en el panorama de las amenazas, y su prevalencia actual, ponen de relieve la importancia fundamental de adoptar medidas de seguridad sólidas para combatir las amenazas en constante cambio», señaló la empresa.
Las operaciones de XWorm también han sufrido algunos reveses durante el último año, siendo el más importante la decisión de XCoder de eliminar abruptamente su cuenta de Telegram en la segunda mitad de 2024, dejando el futuro de la herramienta en el limbo. Sin embargo, desde entonces, se ha observado que los actores de amenazas distribuyen una versión crackeada de la versión 5.6 de XWorm que contenía malware para infectar a otros actores de amenazas que podrían acabar descargándola.
Esto incluyó intentos creado por un actor de amenazas desconocido para engañar a los niños de los guiones para que descarguen una versión troyanizada del generador XWorm RAT a través de repositorios de GitHub, servicios de intercambio de archivos, canales de Telegram y vídeos de YouTube, con el fin de comprometer más de 18.459 dispositivos en todo el mundo.
Esto se ha complementado con atacantes distribuir versiones modificadas de XWorm, una de las cuales es una variante china con el nombre en código XSPY, así como la descubrimiento de una vulnerabilidad de ejecución remota de código (RCE) en el malware que permite a los atacantes con la clave de cifrado de comando y control (C2) ejecutar código arbitrario.
Si bien el aparente abandono de XWorm por parte de XCoder planteó la posibilidad de que el proyecto estuviera «cerrado definitivamente», Trellix dijo que descubrió a un actor de amenazas llamado XcoderTools que ofrecía XWorm 6.0 en foros de ciberdelincuencia el 4 de junio de 2025 por 500 dólares con acceso de por vida, y la describió como una versión «totalmente recodificada» con una solución para la mencionada falla de RCE. Actualmente no se sabe si la última versión es obra del mismo desarrollador o de otra persona que aprovecha la reputación del malware.
Las campañas que distribuyen XWorm 6.0 de forma natural han utilizado archivos JavaScript maliciosos en los correos electrónicos de suplantación de identidad que, al abrirse, muestran un documento PDF con señuelo, mientras que, en segundo plano, se ejecuta código de PowerShell para inyectar el malware en un proceso legítimo de Windows, como RegSvcs.exe, sin llamar la atención.
XWorm V6.0 está diseñado para conectarse a su servidor C2 en 94.159.113 [.] 64 en el puerto 4411 y admite un comando llamado «complemento» para ejecutar más de 35 cargas de DLL en la memoria del host infectado y llevar a cabo diversas tareas.
«Cuando el servidor C2 envía el comando 'plugin', incluye el hash SHA-256 del archivo DLL del plugin y los argumentos para su invocación», explica Trellix. «A continuación, el cliente utiliza el hash para comprobar si el plugin se ha recibido anteriormente. Si no se encuentra la clave, el cliente envía un comando 'sendplugin' al servidor C2, junto con el hash».
«Luego, el servidor C2 responde con el comando «Guardar complemento» junto con una cadena codificada en base64 que contiene el complemento y el hash SHA-256. Al recibir y decodificar el complemento, el cliente lo carga en la memoria».
Algunos de los complementos compatibles en XWorm 6.x (6.0, 6.4 y 6.5) se enumeran a continuación:
- RemoteDesktop.dll , para crear una sesión remota para interactuar con la máquina de la víctima.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll y SystemCheck.Merged.dll , para robar los datos de la víctima, como las claves de producto de Windows, las contraseñas de Wi-Fi y las credenciales almacenadas de los navegadores web (sin pasar por alto los de Chrome) cifrado vinculado a la aplicación ) y otras aplicaciones como FileZilla, Discord, Telegram y MetaMask
- FileManager.dll , para facilitar al operador el acceso al sistema de archivos y las capacidades de manipulación
- Shell.dll , para ejecutar los comandos del sistema enviados por el operador en un proceso cmd.exe oculto.
- Informations.dll , para recopilar información del sistema sobre la máquina de la víctima.
- Webcam.dll , para registrar a la víctima y verificar si una máquina infectada es real
- TCPConnections.dll, ActiveWindows.dll y StartupManager.dll , para enviar una lista de conexiones TCP activas, ventanas activas y programas de inicio, respectivamente, al servidor C2
- Ransomware.dll , para cifrar y descifrar archivos y extorsionar a los usuarios para obtener un rescate en criptomonedas (el código compartido se superpone con el ransomware NoCry)
- Rootkit.dll , para instalar un rootkit r77 modificado
- ResetSurvival.dll , para sobrevivir al restablecimiento del dispositivo mediante modificaciones del Registro de Windows
Las infecciones por xWorm 6.0, además de eliminar las herramientas personalizadas, también han servido de conducto para otras familias de malware, como DarkCloud Stealer, Hworm (RAT basado en VBS), Snake KeyLogger, Coin Miner, Pure Malware, ShadowSniff Stealer (ladrón de Rust de código abierto), Phantom Stealer, Phemedrone Stealer y Remcos RAT.
«Una investigación más profunda del archivo DLL reveló que varios creadores de XWorm V6.0 en VirusTotal estaban a su vez infectados con el malware XWorm, ¡lo que sugiere que un operador de XWorm RAT ha sido comprometido por el malware XWorm! », dijo Trellix.
«El inesperado regreso de XWorm V6, equipado con una versátil gama de complementos para todo tipo de aplicaciones, desde el registro de teclas y el robo de credenciales hasta el ransomware, sirve como un poderoso recordatorio de que ninguna amenaza de malware ha desaparecido realmente».