Una nueva campaña de phishing está distribuyendo un malware altamente evasivo — y las evidencias indican que la amenaza es más sofisticada de lo que se creía.

El Axur Research Team (ART) identificó y analizó una nueva variante de Byakugan, un malware con múltiples capacidades (stealer, spyware, miner, keylogger) que ha sido utilizado en ataques dirigidos a empresas del sector financiero y de criptomonedas. La campaña observada en 2025 demuestra un elevado nivel de ingeniería social y técnicas antiforenses, con una tasa de detección extremadamente baja por soluciones antivirus tradicionales.

En este artículo se presenta una visión general del funcionamiento del malware, el modo de operación de los atacantes y el impacto potencial de la campaña — además de invitarle a consultar el informe técnico completo, que contiene el análisis detallado, los IOCs y el mapeo según MITRE ATT&CK.

Phishing dirigido y baja detección

El ataque comienza con un correo electrónico de phishing que simula una comunicación legítima de un proveedor. El mensaje incluye un PDF falso con una supuesta factura electrónica, alegando que es necesario instalar una versión de Adobe Reader para visualizar el documento.

Al hacer clic en el botón dentro del archivo, la víctima es redirigida a una URL acortada — y luego a GitHub, donde descarga un ejecutable malicioso que imita el nombre y el ícono del instalador oficial de Reader. La ingeniería social está cuidadosamente diseñada para parecer legítima, y el archivo pasa desapercibido por muchos motores antivirus.

Capacidades de Byakugan: de la evasión al minado

Una vez ejecutado, el malware inicia una cadena de acciones:

• Evasión de UAC y secuestro de DLLs
• Inclusión de exclusiones en Windows Defender
• Ejecución de un proceso disfrazado como "chrome.exe"
• Extracción de información del sistema y navegadores
• Comunicación con servidores de C2
  
  

Además del robo de credenciales y la ejecución de keyloggers, el malware ofrece funciones de emulación de navegador, minado de criptoactivos y control remoto del dispositivo infectado. La comunicación con los servidores C2 se realiza a través de puertos abiertos en dominios como tunneloop[.]com[.]br y floravirtual[.]com[.]br, ambos con un historial prácticamente nulo de detección en VirusTotal.

Evidencias de infraestructura y atribución

Durante el análisis, el ART identificó repositorios públicos en GitHub utilizados para distribuir la campaña, además de dashboards de control accesibles desde IPs y dominios. Uno de los paneles muestra los dispositivos infectados y las acciones disponibles — incluyendo captura de archivos, navegación simulada y minería.

También se encontró un video en Vimeo que demuestra el uso de la herramienta, subido por un usuario. Aunque la campaña tiene origen nacional, se han registrado infecciones en países como Estados Unidos, Alemania, Ucrania y Países Bajos.

Mapeo táctico con MITRE ATT&CK

La campaña Byakugan 2025 emplea diversas tácticas y técnicas conforme a la matriz MITRE ATT&CK, entre ellas:

• Initial Access: T1566.002 – Spearphishing Link
• Defense Evasion: T1036, T1027, T1497
• Discovery: T1082, T1057
• Command & Control: T1071.001, T1095, T1573, T1219
  
  

Este mapeo ayuda a comprender el ciclo de vida del ataque y orientar estrategias de detección y mitigación.

Lea el análisis completo del ART

El análisis elaborado por el Axur Research Team (ART) ofrece una investigación técnica en profundidad sobre la campaña Byakugan 2025. Incluye la cadena de ataque detallada, evidencias de infraestructura y dominios utilizados, análisis del código malicioso, indicadores de compromiso (IOCs) y recomendaciones prácticas de mitigación. El informe también presenta capturas de pantalla de los paneles y del flujo de infección observados durante la investigación.

Si desea entender cómo opera este malware — y cómo proteger a su organización —, acceda ahora al informe completo.