En el panorama actual de la ciberseguridad, la constante evolución de las amenazas digitales exige una vigilancia y análisis exhaustivos. Uno de los grupos cibercriminales que ha ganado notoriedad por sus sofisticadas campañas es Golden Chickens, también conocido como TA4557 o Venom Spider. Este actor malicioso ha desarrollado nuevas variantes de malware, entre ellas TerraStealerV2 y TerraLogger, que refuerzan su arsenal para robar información sensible, especialmente credenciales almacenadas en navegadores web y datos vinculados a carteras de criptomonedas. Golden Chickens se distingue por su modelo de negocio de malware como servicio (MaaS), que facilita la distribución y comercialización de sus herramientas ilícitas entre otros ciberdelincuentes. Esta estrategia le permite mantener una constante actualización y diversificación de sus códigos maliciosos para evadir detecciones y ampliar sus objetivos.
TerraStealerV2 representa la última iteración de software diseñado específicamente para extraer grandes cantidades de información crítica de las víctimas. Utiliza múltiples vectores de distribución incluyendo ejecutables, librerías dinámicas (DLL), paquetes de instalación MSI y accesos directos de Windows (.LNK). La naturaleza variada de estos formatos facilita que el malware pueda infiltrarse en diferentes entornos, dificultando su identificación y bloqueo por parte de defensores de seguridad. La infección comienza usualmente con campañas de spear phishing dirigidas a profesionales, particularmente aquellos que ocupan posiciones clave como gerentes de contratación.
Se emplean correos electrónicos que contienen archivos maliciosos disfrazados de currículums laborales, que al ser abiertos ejecutan código en JavaScript para desplegar un dropper —un pequeño programa cuya función es descargar y ejecutar malware adicional— que finalmente instala TerraLoader y luego More_eggs, herramientas complementarias que habilitan la descarga y ejecución del payload principal. Uno de los aspectos más preocupantes de TerraStealerV2 es su capacidad para acceder a sistemas y extraer información almacenada en bases de datos de navegadores como Chrome, concretamente en la base de datos "Login Data" donde se guardan credenciales de acceso. Sin embargo, es importante destacar que no ha podido superar las recientes protecciones implementadas por Chrome, como Application Bound Encryption (ABE), lo que podría indicar que el malware aún se encuentra en desarrollo o requiere actualización para eludir estas nuevas defensas. Además, TerraStealerV2 es capaz de recolectar detalles acerca de extensiones del navegador instaladas y datos sensibles de carteras de criptomonedas, áreas que son objetivos frecuentes para los delincuentes dada la alta valorización y la dificultad de seguimiento de activos digitales. Esta característica convierte al malware en una amenaza significativa para usuarios del ecosistema cripto, quienes deben tomar precauciones estrictas para proteger sus activos y credenciales.
La exfiltración de datos robados se ejecuta principalmente a través de Telegram y un dominio controlado identificado como "wetransfers[.]io". Esto permite a los atacantes recibir la información sin necesidad de abrir canales tradicionales de comunicación menos seguros y facilita la continuidad de sus operaciones incluso frente a sistemas de detección. Por su parte, TerraLogger es una herramienta complementaria que se focaliza en registrar las pulsaciones del teclado mediante un hook a bajo nivel, escribiendo los resultados en archivos locales. Su falta de capacidades para la exfiltración o comunicación con servidores de mando sugiere que está en una fase temprana de desarrollo o que forma parte de una arquitectura modular en la que diferentes componentes cumplen roles específicos dentro del ecosistema Golden Chickens.
La sofisticación del grupo Golden Chickens también se refleja en la utilización de técnicas para evadir soluciones de seguridad, incluyendo la ofuscación y el cifrado de código, así como el empleo de utilidades legítimas de Windows como regsvr32.exe y mshta.exe para ejecutar scripts maliciosos, generando menos alerta y dificultando el análisis forense. Desde 2018, Golden Chickens ha implementado campañas que emplean ofertas de trabajo falsas en LinkedIn, sitios web controlados para distribuir cargadores de malware, y el continuo desarrollo de herramientas como More_eggs lite, VenomLNK, TerraLoader y TerraCrypt. Estas operaciones han sido atribuidas a individuos presuntamente localizados en Canadá y Rumania, que manejan el alias «badbullzvenom» en foros y redes clandestinas.
El contexto actual muestra un incremento de familias de malware dedicadas al robo de información, como Hannibal Stealer, Gremlin Stealer y Nullpoint Stealer, que junto a actualizaciones de paquetes como StealC V2 y Lumma Stealer demuestran una competencia tecnológica orientada a perfeccionar métodos y ampliar el espectro de víctimas. Las últimas versiones de esas herramientas presentan características avanzadas, entre ellas la capacidad de personalizar las reglas de distribución del payload considerando la geolocalización, los identificadores de hardware y software instalado, bloqueo via fuerza bruta desde el servidor, captura de pantallas en múltiples monitores y comunicación integrada mediante bots de Telegram para notificaciones instantáneas. La precaución es la mejor defensa frente a la amenaza de Golden Chickens y otros grupos similares. Los profesionales de la ciberseguridad deben mantenerse informados sobre las nuevas tácticas, técnicas y procedimientos para implementar barreras robustas, como soluciones avanzadas de detección de phishing, protección de navegadores, monitoreo continuo del tráfico de red y concientización constante entre usuarios sobre la importancia de no abrir archivos sospechosos o enlaces desconocidos. Igualmente, el ecosistema de las carteras y aplicaciones relacionadas con criptomonedas requiere reforzar sus protocolos de seguridad dada la exposición que representan estas campañas.
El uso de autenticación multifactor, almacenamiento en frío para activos digitales y revisiones periódicas de extensiones o software instalado contribuyen a mitigar el riesgo. La lucha contra actores como Golden Chickens demanda una vigilancia constante, actualización tecnológica y colaboración entre distintas entidades para interceptar, analizar y neutralizar las amenazas antes de que ocasionen daños significativos a individuos o empresas. Las noticias recientes sobre TerraStealerV2 evidencian que el cibercrimen no solo persiste sino que evoluciona aceleradamente, consolidando la necesidad de un enfoque proactivo y bien informado en seguridad digital.
