Malware LOSTKEYS: una herramienta de espionaje sigilosa dirigida a Occidente
Un nuevo malware conocido como LOSTKEYS se ha convertido en la herramienta predilecta de una serie de ciberoperaciones encubiertas con tintes políticos. Detectado por primera vez a finales de 2023 y en uso activo hasta principios de 2025, LOSTKEYS forma parte de un cambio estratégico del grupo de hackers COLDRIVER, vinculado a Rusia y conocido por sus campañas de ciberespionaje dirigidas a personalidades e instituciones occidentales de alto perfil.
A diferencia del malware tradicional, diseñado para causar disrupciones masivas o robos financieros, LOSTKEYS está diseñado para ataques altamente selectivos basados en información. Su objetivo principal es infiltrarse silenciosamente en sistemas, extraer archivos confidenciales y devolver información clave del sistema, todo ello evitando ser detectado.
Table of Contents
¿Qué es LOSTKEYS?
LOSTKEYS es un programa de malware personalizado capaz de extraer tipos de archivos específicos de carpetas designadas en el ordenador de la víctima. Además de recopilar archivos, también transmite información del sistema y procesos en ejecución a los atacantes. Lo que distingue a LOSTKEYS es su precisión: ataca únicamente sistemas considerados valiosos, lo que la convierte en una herramienta claramente diseñada para el espionaje, no para una vulneración a gran escala.
El nombre del malware podría sugerir aleatoriedad, pero su despliegue es todo lo contrario. Se ha observado en ataques dirigidos a asesores gubernamentales, personal militar, periodistas, centros de investigación, ONG y personas vinculadas a Ucrania. El alcance específico y limitado de estos objetivos apunta a su uso para la recopilación de inteligencia, más que para obtener beneficios delictivos.
¿Cómo funciona?
El proceso de infección comienza con una forma avanzada de ingeniería social conocida como ClickFix . Las víctimas son atraídas a un sitio web falso con un CAPTCHA falso. Creyendo que están verificando su identidad, se les pide a los usuarios que copien un comando de PowerShell y lo ejecuten a través del cuadro de diálogo Ejecutar de Windows. Este comando inicia la cadena de descarga del malware.
Lo que sigue es un proceso de varias etapas diseñado para eludir la detección. La primera carga útil realiza comprobaciones del entorno, probablemente para detectar si se ejecuta en una máquina virtual, algo habitual en los laboratorios de análisis de malware. Si las comprobaciones del entorno son satisfactorias, el comando recupera un script codificado en Base64 que finalmente ejecuta el malware LOSTKEYS. Una vez ejecutado, escanea silenciosamente el sistema host, buscando tipos de archivos y directorios predefinidos, y envía los datos a un servidor remoto.
¿Quién está detrás de esto?
LOSTKEYS se ha atribuido al grupo de amenazas COLDRIVER, también conocido como Callisto, Star Blizzard y UNC4057. Tradicionalmente, este grupo se ha valido del phishing de credenciales para acceder a cuentas de correo electrónico y robar comunicaciones confidenciales. Sin embargo, LOSTKEYS y su predecesor, SPICA , señalan una nueva dirección: la vulneración directa de dispositivos y la extracción de datos.
Los expertos en seguridad señalan que COLDRIVER suele operar con motivos geopolíticos. Sus objetivos y tácticas se alinean estrechamente con las actividades de espionaje respaldadas por Estados, y sus campañas anteriores han demostrado interés en los sectores de la política exterior, la defensa y los medios de comunicación occidentales.
Implicaciones de LOSTKEYS
La aparición de LOSTKEYS refleja una tendencia más amplia en las operaciones cibernéticas: la combinación de ingeniería social engañosa con malware diseñado a medida para la vigilancia selectiva. Estas tácticas son sutiles, efectivas y difíciles de rastrear, y a menudo impiden que las víctimas se den cuenta de que han sido atacadas.
Las implicaciones son significativas. Para las agencias gubernamentales y organizaciones que trabajan en temas sensibles, especialmente aquellas relacionadas con Europa del Este, el riesgo de fugas silenciosas de datos nunca ha sido tan alto. Dado que LOSTKEYS no está diseñado para destruir ni interrumpir, sino para recopilar datos discretamente, su presencia puede pasar desapercibida durante largos periodos.
Además, el creciente uso de tácticas como ClickFix demuestra cómo los atacantes se están adaptando. En lugar de intentar vulnerar las defensas reforzadas, se aprovechan del comportamiento humano, persuadiendo a los usuarios para que ejecuten comandos maliciosos. Este enfoque puede eludir muchos controles de seguridad y protecciones antivirus tradicionales.
Una tendencia más amplia
LOSTKEYS no opera de forma aislada. Otros actores de amenazas han reutilizado el método ClickFix para distribuir diferentes cepas de malware, incluyendo troyanos bancarios y ladrones de datos específicos para Mac. Técnicas como EtherHiding , que oculta código malicioso en transacciones de blockchain, se están integrando en estas campañas, lo que dificulta aún más su detección.
Un investigador descubrió recientemente una campaña masiva llamada MacReaper, en la que más de 2800 sitios web legítimos fueron comprometidos para mostrar páginas CAPTCHA falsas. Estos puntos de entrada engañosos sirven a diversas familias de malware, incluyendo Atomic Stealer , que ataca sistemas macOS.
Mantenerse informado y seguro
Si bien la sofisticación técnica de LOSTKEYS y sus mecanismos de entrega es preocupante, la mejor defensa sigue siendo la vigilancia. Los usuarios deben ser cautelosos cuando se les solicite ejecutar comandos desconocidos o interactuar con formularios web inesperados. Las organizaciones, especialmente las que manejan datos o políticas confidenciales, deben seguir invirtiendo en capacitación, protección de endpoints e inteligencia de amenazas.
LOSTKEYS nos recuerda que las amenazas modernas suelen presentarse de forma sutil. No son los que hacen ruido, sino los operadores silenciosos, los que pueden representar el mayor riesgo para la seguridad en la era digital.
