Una nueva ola de malware criptográfico está barriendo el mundo de los activos digitales, y esta vez los actores son más sabios y versátiles que nunca. A la vanguardia de la nueva ola están los Ghouls Bibliotecarios, un grupo de amenaza persistente avanzada enfocado en Rusia (APT), y Crocodilus, un ladrón multiplataforma con raíces en troyanos bancarios de Android.
“La última campaña de los Ghouls Bibliotecarios utiliza software legítimo como AnyDesk para ocultar mineros de criptomonedas y registradores de teclas. Una vez que están dentro, son silenciosos—hasta la medianoche.”
— Kaspersky Threat Intelligence ( 9 de junio de 2025 )
Bibliotecarios Ghouls: El malware "legítimo"
Este grupo APT disfraza ataques como documentos de rutina (, e.g., órdenes de pago ) en correos electrónicos de phishing. Una vez abiertos, su malware:
Instala 4t Tray Minimizer para ocultar procesos maliciosos.
Despliega AnyDesk para acceso remoto y XMRig para minar Monero.
Roba las credenciales de la billetera de criptomonedas y las claves del registro.
Nuevo en 2025: Activación de medianoche: el malware solo se ejecuta por la noche para evitar detección.
Su ataque no es simplemente un robo a la fuerza; más bien, combinan la experiencia técnica con la coerción psicológica, golpeando en cada paso del ciclo cripto.
Los Ghouls Bibliotecarios también han optimizado su cargador para disfrazarse como aplicaciones comerciales legítimas, a menudo implantando su malware en lo que parecen ser documentos inofensivos como órdenes de pago o facturas. Cuando la víctima ejecuta el archivo, los instaladores de malware instalan en silencio programas como 4t Tray Minimizer para cubrir sus huellas y AnyDesk para control remoto.
Pero lo que es más único acerca de este grupo es que utilizan desencadenantes basados en el tiempo: el malware solo se activa por la noche, lo que reduce las posibilidades de detección por parte de los equipos de seguridad durante las horas laborales. Lo hace utilizando una estrategia nocturna que le permite robar credenciales de billetera, minar Monero usando XMRig y exfiltrar datos sensibles sin ser detectado.
Las víctimas pueden no darse cuenta de que algo anda mal hasta semanas después, cuando sus billeteras han sido drenadas y sus sistemas comprometidos más allá de una simple restauración.
Crocodilus: El recolector de frases semilla
Originalmente un troyano bancario turco, Crocodilus ahora apunta a usuarios de criptomonedas a nivel global a través de:
Aplicaciones falsas que se hacen pasar por Coinbase, MetaMask o herramientas de minería.
Cosechadores de frases semilla automatizados que escanean dispositivos en busca de datos de billetera.
Ingeniería social a través de contactos falsos de “Soporte Bancario” en tu teléfono.
“El nuevo analizador de Crocodilus extrae frases semilla con precisión quirúrgica. Un clic en un enlace X falso, y tu billetera se ha ido.”
— Equipo MTI de ThreatFabric ( 3 de junio de 2025 )
Crocodilus, por otro lado, evolucionó rápidamente de una amenaza regional a una global. Ya no se limita a Android, ahora se dirige a extensiones de navegador maliciosas, clonar aplicaciones de escritorio e incluso bots de Telegram para ampliar su alcance. La característica más mortal del malware es su capacidad para robar frases iniciales de datos del portapapeles, capturas de pantalla y datos de autocompletar, a veces incluso antes de que la víctima sea consciente de que está siendo atacada.
Los actores de amenazas comenzaron a ofrecer acceso a las carteras comprometidas a la venta en foros de la darknet, estableciendo un próspero mercado negro para activos de criptomonedas robados que está creciendo en tamaño y complejidad. A veces, Crocodilus incluso envía mensajes no deseados a "números de soporte" inocentes en los teléfonos de las víctimas, engañando a los usuarios para que proporcionen información sensible bajo la apariencia de soporte técnico.
Enlaces X Falsos: Ahora Con Deepfakes en Tiempo Real
Códigos QR que enlazan a contratos inteligentes que drenan billeteras.
Chats de soporte de deepfake de IA que imitan a agentes reales.
Ejemplo Real: En mayo de 2025, un livestream de “Elon Musk” deepfake instó a los espectadores a escanear un código QR para un sorteo de “TeslaCoin”. Las víctimas perdieron más de $200K en 30 minutos.
Una de las tendencias más amenazantes es el desarrollo de chats de soporte deepfake en tiempo real. Los hackers utilizan avatares afectados por IA para hacer pasar por marcas o influencers reconocidos en X (Twitter), proporcionando "ayuda" auténtica e interactiva que atrae a las víctimas a compartir su frase semilla o clave privada.
Los deepfakes son tan convincentes que incluso los usuarios de criptomonedas experimentados han caído en ellos, con los avatares imitando la voz, el tono e incluso el lenguaje corporal de figuras reconocidas en la comunidad.
En uno de los casos más notables, un deepfake de "Elon Musk" en vivo en X anunció un falso sorteo de TeslaCoin y tuvo pérdidas de cientos de miles de dólares en cuestión de minutos.
Consejos de OPSEC: Cómo mantenerse seguro
De la Guía 2025 de Quillaudits:
| Acción | Por qué es importante |
| --- | --- |
| Usa un dispositivo dedicado | Aísla la actividad cripto de la navegación diaria |
| Revocar aprobaciones | El malware no puede drenar las carteras que has bloqueado |
| Evitar Wi-Fi público | Crocodilus prospera en redes no seguras |
| Verificar enlaces X offline | Las estafas de deepfake desaparecen cuando se verifican |
Para protegerse contra tales amenazas, los usuarios deberán utilizar un enfoque de OPSEC multilayer. Los expertos recomiendan el uso de billeteras de hardware para inversiones de alto valor, habilitar la autenticación de dos factores y nunca compartir frases semilla, ni siquiera con personal de soporte presunto o cuentas sociales legítimas.
Las verificaciones regulares de aprobación de billeteras, mantener el software actualizado y separar las operaciones de cripto en dispositivos de un solo uso pueden reducir el riesgo de manera similar. A medida que los atacantes se vuelven cada vez más innovadores e ingeniosos, la mejor defensa es mantenerse bien informado y ser adecuadamente escéptico.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
¿Puedes confiar en que tu Cripto está a salvo mientras duermes?
Una nueva ola de malware criptográfico está barriendo el mundo de los activos digitales, y esta vez los actores son más sabios y versátiles que nunca. A la vanguardia de la nueva ola están los Ghouls Bibliotecarios, un grupo de amenaza persistente avanzada enfocado en Rusia (APT), y Crocodilus, un ladrón multiplataforma con raíces en troyanos bancarios de Android.
Bibliotecarios Ghouls: El malware "legítimo"
Este grupo APT disfraza ataques como documentos de rutina (, e.g., órdenes de pago ) en correos electrónicos de phishing. Una vez abiertos, su malware:
Nuevo en 2025: Activación de medianoche: el malware solo se ejecuta por la noche para evitar detección.
Su ataque no es simplemente un robo a la fuerza; más bien, combinan la experiencia técnica con la coerción psicológica, golpeando en cada paso del ciclo cripto.
Los Ghouls Bibliotecarios también han optimizado su cargador para disfrazarse como aplicaciones comerciales legítimas, a menudo implantando su malware en lo que parecen ser documentos inofensivos como órdenes de pago o facturas. Cuando la víctima ejecuta el archivo, los instaladores de malware instalan en silencio programas como 4t Tray Minimizer para cubrir sus huellas y AnyDesk para control remoto.
Pero lo que es más único acerca de este grupo es que utilizan desencadenantes basados en el tiempo: el malware solo se activa por la noche, lo que reduce las posibilidades de detección por parte de los equipos de seguridad durante las horas laborales. Lo hace utilizando una estrategia nocturna que le permite robar credenciales de billetera, minar Monero usando XMRig y exfiltrar datos sensibles sin ser detectado.
Las víctimas pueden no darse cuenta de que algo anda mal hasta semanas después, cuando sus billeteras han sido drenadas y sus sistemas comprometidos más allá de una simple restauración.
Crocodilus: El recolector de frases semilla
Originalmente un troyano bancario turco, Crocodilus ahora apunta a usuarios de criptomonedas a nivel global a través de:
Crocodilus, por otro lado, evolucionó rápidamente de una amenaza regional a una global. Ya no se limita a Android, ahora se dirige a extensiones de navegador maliciosas, clonar aplicaciones de escritorio e incluso bots de Telegram para ampliar su alcance. La característica más mortal del malware es su capacidad para robar frases iniciales de datos del portapapeles, capturas de pantalla y datos de autocompletar, a veces incluso antes de que la víctima sea consciente de que está siendo atacada.
Los actores de amenazas comenzaron a ofrecer acceso a las carteras comprometidas a la venta en foros de la darknet, estableciendo un próspero mercado negro para activos de criptomonedas robados que está creciendo en tamaño y complejidad. A veces, Crocodilus incluso envía mensajes no deseados a "números de soporte" inocentes en los teléfonos de las víctimas, engañando a los usuarios para que proporcionen información sensible bajo la apariencia de soporte técnico.
Enlaces X Falsos: Ahora Con Deepfakes en Tiempo Real
Los hackers están explotando X (Twitter) con:
Ejemplo Real: En mayo de 2025, un livestream de “Elon Musk” deepfake instó a los espectadores a escanear un código QR para un sorteo de “TeslaCoin”. Las víctimas perdieron más de $200K en 30 minutos.
Una de las tendencias más amenazantes es el desarrollo de chats de soporte deepfake en tiempo real. Los hackers utilizan avatares afectados por IA para hacer pasar por marcas o influencers reconocidos en X (Twitter), proporcionando "ayuda" auténtica e interactiva que atrae a las víctimas a compartir su frase semilla o clave privada.
Los deepfakes son tan convincentes que incluso los usuarios de criptomonedas experimentados han caído en ellos, con los avatares imitando la voz, el tono e incluso el lenguaje corporal de figuras reconocidas en la comunidad.
En uno de los casos más notables, un deepfake de "Elon Musk" en vivo en X anunció un falso sorteo de TeslaCoin y tuvo pérdidas de cientos de miles de dólares en cuestión de minutos.
Consejos de OPSEC: Cómo mantenerse seguro
De la Guía 2025 de Quillaudits:
| Acción | Por qué es importante | | --- | --- | | Usa un dispositivo dedicado | Aísla la actividad cripto de la navegación diaria | | Revocar aprobaciones | El malware no puede drenar las carteras que has bloqueado | | Evitar Wi-Fi público | Crocodilus prospera en redes no seguras | | Verificar enlaces X offline | Las estafas de deepfake desaparecen cuando se verifican |
Para protegerse contra tales amenazas, los usuarios deberán utilizar un enfoque de OPSEC multilayer. Los expertos recomiendan el uso de billeteras de hardware para inversiones de alto valor, habilitar la autenticación de dos factores y nunca compartir frases semilla, ni siquiera con personal de soporte presunto o cuentas sociales legítimas.
Las verificaciones regulares de aprobación de billeteras, mantener el software actualizado y separar las operaciones de cripto en dispositivos de un solo uso pueden reducir el riesgo de manera similar. A medida que los atacantes se vuelven cada vez más innovadores e ingeniosos, la mejor defensa es mantenerse bien informado y ser adecuadamente escéptico.