{"id":162913,"date":"2025-10-15T13:00:20","date_gmt":"2025-10-15T20:00:20","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=162913"},"modified":"2025-10-24T13:14:09","modified_gmt":"2025-10-24T20:14:09","slug":"phantomvai-loader-delivers-infostealers","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/","title":{"rendered":"El cargador PhantomVAI Loader ofrece una gama de infostealer"},"content":{"rendered":"<h2><a id=\"post-162913-_heading=h.11pe9t97qqep\"><\/a>Resumen ejecutivo<\/h2>\n<p>Los investigadores de Unit\u00a042 han estado rastreando campa\u00f1as de phishing que usan PhantomVAI Loader para distribuir malware que roba informaci\u00f3n a trav\u00e9s de una cadena de infecci\u00f3n evasiva de varias etapas. Los actores de amenazas lanzan estas campa\u00f1as para distribuir scripts ofuscados y cargadores que usan t\u00e9cnicas de <a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/003\/\" target=\"_blank\" rel=\"noopener\">esteganograf\u00eda<\/a> para ocultar las cargas \u00fatiles.<\/p>\n<p>El cargador utilizado inicialmente en estas campa\u00f1as se denomin\u00f3 Katz Stealer Loader, por el malware Katz Stealer que transmite. Los hackers est\u00e1n vendiendo este nuevo infostealer en foros clandestinos como malware como servicio (MaaS). Recientemente, observamos que el cargador ahora entrega infostealers adicionales, como <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.asyncrat\" target=\"_blank\" rel=\"noopener\">AsyncRAT<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.xworm\" target=\"_blank\" rel=\"noopener\">XWorm<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.formbook\" target=\"_blank\" rel=\"noopener\">FormBook<\/a> y <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.dcrat\" target=\"_blank\" rel=\"noopener\">DCRat<\/a>. Dado este comportamiento \u00fanico, rastreamos el cargador con un nuevo nombre: PhantomVAI Loader. Elegimos este nombre por el sigilo del cargador y el m\u00e9todo VAI que ejecuta.<\/p>\n<p>Los actores de amenazas implementan PhantomVAI Loader en ataques en todo el mundo, dirigidos a organizaciones de diversas industrias:<\/p>\n<ul>\n<li>Fabricaci\u00f3n<\/li>\n<li>Formaci\u00f3n<\/li>\n<li>Servicios b\u00e1sicos<\/li>\n<li>Tecnolog\u00eda<\/li>\n<li>Atenci\u00f3n de salud<\/li>\n<li>seguridad<\/li>\n<li>Gobierno<\/li>\n<\/ul>\n<p>Exploramos cada etapa de la cadena de infecci\u00f3n multicapa, desde el correo electr\u00f3nico de phishing inicial hasta la implementaci\u00f3n final de la carga \u00fatil del infostealer. Tambi\u00e9n esbozamos la funcionalidad de Katz Stealer espec\u00edficamente.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a esta actividad gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 98.7889%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 205.808%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/infostealer-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Infostealers<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-162913-_heading=h.l766aiu0rm4r\"><\/a>Antecedentes<\/h2>\n<p>El 13 de abril de 2025, un usuario llamado \u201c<span style=\"font-family: 'courier new', courier, monospace;\">katzadmin<\/span>\u201d public\u00f3 sobre un nuevo infostealer llamado Katz Stealer. El usuario subi\u00f3 estas publicaciones al foro clandestino BreachForums, y m\u00e1s tarde tambi\u00e9n a los foros <span style=\"font-family: 'courier new', courier, monospace;\">exploit[.]in<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">xss[.]is<\/span>. Katz Stealer es un tipo de MaaS que recopila datos confidenciales de diversas aplicaciones alojadas en m\u00e1quinas infectadas.<\/p>\n<p>Observamos que los actores de amenazas distribuyen Katz Stealer a trav\u00e9s de correos electr\u00f3nicos de phishing que contienen c\u00f3digo JavaScript o VBS ofuscado, scripts de PowerShell y un cargador .NET. Inicialmente llamado Katz Stealer Loader, y tambi\u00e9n conocido como <a href=\"https:\/\/www.ibm.com\/think\/x-force\/dcrat-presence-growing-in-latin-america\" target=\"_blank\" rel=\"noopener\">VMDetectLoader,<\/a> este cargador ahora entrega infostealers como <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.asyncrat\" target=\"_blank\" rel=\"noopener\">AsyncRAT<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.xworm\" target=\"_blank\" rel=\"noopener\">XWorm<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.formbook\" target=\"_blank\" rel=\"noopener\">FormBook<\/a> y <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.dcrat\" target=\"_blank\" rel=\"noopener\">DCRat<\/a>. Rastreamos este cargador con un nuevo nombre: PhantomVAI Loader.<\/p>\n<h2><a id=\"post-162913-_heading=h.bbhxvwwlwq1c\"><\/a>An\u00e1lisis de la cadena de infecci\u00f3n<\/h2>\n<p>La cadena de ataque de PhantomVAI Loader comienza con una operaci\u00f3n inicial de phishing y finaliza con la implementaci\u00f3n de cargas \u00fatiles. En la Figura\u00a01, se resumen las etapas de este proceso.<\/p>\n<figure id=\"attachment_163002\" aria-describedby=\"caption-attachment-163002\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-163002 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/ES_2577_PhantomVAI-Graphics-1.png\" alt=\"Diagrama de flujo que detalla un ciberataque mediante un correo electr\u00f3nico de phishing que conduce a la descarga de varios archivos, incluidos archivos comprimidos y scripts, con herramientas como PowerShell, y que culmina con la inyecci\u00f3n de un infostealer a trav\u00e9s de PhantomVAI Loader. \" width=\"800\" height=\"463\" \/><figcaption id=\"caption-attachment-163002\" class=\"wp-caption-text\">Figura 1. La cadena de ataque de PhantomVAI Loader.<\/figcaption><\/figure>\n<h3><a id=\"post-162913-_heading=h.9a7qeedwm3g\"><\/a><strong>Correos electr\u00f3nicos de phishing <\/strong><\/h3>\n<p>La cadena de infecci\u00f3n comienza con un correo electr\u00f3nico de phishing que contiene un archivo adjunto malicioso. En la Figura\u00a02, se muestra un ejemplo de uno de los correos electr\u00f3nicos de phishing.<\/p>\n<figure id=\"attachment_162925\" aria-describedby=\"caption-attachment-162925\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162925 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-32529-162913-2.png\" alt=\"Captura de pantalla de un correo electr\u00f3nico que muestra un mensaje sobre un nuevo pedido de env\u00edo, incluido un documento adjunto. El remitente se identifica como una empresa de log\u00edstica de carga, haciendo referencia a la confirmaci\u00f3n de los documentos de env\u00edo. El texto del correo electr\u00f3nico incluye datos de contacto y la URL de un sitio web.\" width=\"1000\" height=\"921\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-32529-162913-2.png 1712w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-32529-162913-2-478x440.png 478w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-32529-162913-2-760x700.png 760w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-32529-162913-2-768x707.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-32529-162913-2-1536x1414.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162925\" class=\"wp-caption-text\">Figura\u00a02. Correo electr\u00f3nico de phishing. Fuente: <a href=\"https:\/\/www.virustotal.com\/\" target=\"_blank\" rel=\"noopener\">VirusTotal<\/a>.<\/figcaption><\/figure>\n<p>Los correos electr\u00f3nicos hablan de temas como ventas, pagos y acciones legales para enga\u00f1ar a los usuarios objetivo y conseguir que abran el archivo adjunto malicioso. Algunos de estos correos electr\u00f3nicos incorporan <a href=\"https:\/\/unit42.paloaltonetworks.com\/homograph-attacks\/\" target=\"_blank\" rel=\"noopener\">ataques hom\u00f3grafos <\/a>que consisten en sustituir los caracteres latinos del mensaje por otros caracteres Unicode o matem\u00e1ticos. Los atacantes usan esta t\u00e9cnica para eludir las defensas del correo electr\u00f3nico al disfrazar t\u00e9rminos que los mecanismos de seguridad del correo suelen marcar como sospechosos.<\/p>\n<h3><a id=\"post-162913-_heading=h.dptnxvmczlu5\"><\/a>Etapa\u00a01: JavaScript y scripts VBS<\/h3>\n<p>Los archivos adjuntos del correo electr\u00f3nico de phishing son archivos JavaScript o VBS archivados. Los actores de amenazas ofuscan estos scripts en un intento de eludir las detecciones. En la Figura\u00a03, se muestra un ejemplo de JavaScript ofuscado de uno de estos archivos.<\/p>\n<figure id=\"attachment_162936\" aria-describedby=\"caption-attachment-162936\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162936 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-36108-162913-3.png\" alt=\"Captura de pantalla de JavaScript ofuscado en un editor de texto, con varias l\u00edneas con sintaxis resaltada.\" width=\"1000\" height=\"173\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-36108-162913-3.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-36108-162913-3-786x136.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-36108-162913-3-1920x333.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-36108-162913-3-768x133.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-36108-162913-3-1536x266.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162936\" class=\"wp-caption-text\">Figura 3. JavaScript ofuscado.<\/figcaption><\/figure>\n<p>El script incrusta un script de PowerShell codificado en Base64 y lo ejecuta para descargar y entregar la siguiente etapa de la infecci\u00f3n.<\/p>\n<h3><a id=\"post-162913-_heading=h.tsaigd16zl20\"><\/a>Etapa\u00a02: Script de PowerShell<\/h3>\n<p>El script de PowerShell descodificado descarga y carga la siguiente etapa de la infecci\u00f3n. En la Figura\u00a04, se muestra un ejemplo de script PowerShell descodificado.<\/p>\n<figure id=\"attachment_162947\" aria-describedby=\"caption-attachment-162947\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162947 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-38941-162913-4.png\" alt=\"Captura de pantalla del script PowerShell que contiene la esteganograf\u00eda, resaltada por un recuadro y una flecha. La \u00faltima l\u00ednea son los argumentos de la l\u00ednea de comandos del cargador PhantomVAI.\" width=\"1000\" height=\"197\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-38941-162913-4.png 1652w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-38941-162913-4-786x155.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-38941-162913-4-768x151.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-38941-162913-4-1536x302.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162947\" class=\"wp-caption-text\">Figura 4. Script de PowerShell usado para descargar las siguientes fases del ataque.<\/figcaption><\/figure>\n<p>El script de PowerShell descarga un GIF u otro archivo de imagen que oculta la carga \u00fatil del cargador. Esta t\u00e9cnica se conoce como <a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/003\/\" target=\"_blank\" rel=\"noopener\">esteganograf\u00eda<\/a>. En las infecciones que observamos, los actores de amenazas usaban esta t\u00e9cnica para incrustar texto en la imagen. El texto es un archivo DLL codificado en Base64.<\/p>\n<p>A continuaci\u00f3n, el script extrae los datos en Base64 buscando cadenas espec\u00edficas que representen el inicio y el final del texto codificado. En este caso, el script de PowerShell busca todo el texto entre &lt;&lt;<span style=\"font-family: 'courier new', courier, monospace;\">sudo_png<\/span>&gt;&gt; y &lt;&lt;<span style=\"font-family: 'courier new', courier, monospace;\">sudo_odt<\/span>&gt;&gt;. Este texto es un DLL codificado. En otros casos, los actores de amenazas insertaron el texto codificado entre diferentes cabeceras. En la Figura\u00a05, se muestra un ejemplo de texto codificado incrustado en un archivo GIF mediante esteganograf\u00eda.<\/p>\n<figure id=\"attachment_162958\" aria-describedby=\"caption-attachment-162958\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162958 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-41543-162913-5.png\" alt=\"Captura de pantalla de c\u00f3digo inform\u00e1tico en un editor, con varias l\u00edneas de texto en blanco y gris sobre un fondo negro. El texto incluye varias sintaxis de programaci\u00f3n y palabras clave con una secci\u00f3n resaltada en rojo que dice 'sudo png'.\" width=\"1000\" height=\"303\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-41543-162913-5.png 1500w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-41543-162913-5-786x238.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-41543-162913-5-768x232.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162958\" class=\"wp-caption-text\">Figura 5. El inicio del texto Base64 codificado incrustado en un archivo GIF.<\/figcaption><\/figure>\n<p>Tras extraer el texto codificado del archivo de imagen o GIF, el script de PowerShell descodifica el texto y carga el DLL. El DLL cargado es la carga \u00fatil del cargador .NET que llamamos PhantomVAI Loader.<\/p>\n<p>El script de PowerShell invoca un m\u00e9todo llamado VAI dentro de PhantomVAI Loader y le proporciona varios par\u00e1metros. El primer par\u00e1metro es una URL para el servidor de comando y control (C2) que aloja la carga \u00fatil final.<\/p>\n<h3><a id=\"post-162913-_heading=h.q21zhexhbj9n\"><\/a>Etapa\u00a03: Ejecuci\u00f3n de PhantomVAI Loader<\/h3>\n<p>PhantomVAI Loader est\u00e1 escrito en C#, y el m\u00e9todo VAI tiene tres funcionalidades principales:<\/p>\n<ul>\n<li>Ejecuci\u00f3n de comprobaciones de m\u00e1quinas virtuales<\/li>\n<li>Establecimiento de la persistencia<\/li>\n<li>Recuperaci\u00f3n de la carga \u00fatil final<\/li>\n<\/ul>\n<h4><a id=\"post-162913-_heading=h.2ydqrc4b9d64\"><\/a>Detecci\u00f3n de m\u00e1quinas virtuales<\/h4>\n<p>Cuando se ejecuta PhantomVAI Loader, realiza comprobaciones para determinar si se est\u00e1 ejecutando en una m\u00e1quina virtual, como muestra el siguiente c\u00f3digo. La parte del c\u00f3digo dedicada a la detecci\u00f3n de m\u00e1quinas virtuales parece basarse en un proyecto de GitHub denominado <a href=\"https:\/\/github.com\/robsonfelix\/VMDetector\" target=\"_blank\" rel=\"noopener\">VMDetector<\/a>. Si alguna de las comprobaciones devuelve una respuesta verdadera, PhantomVAI Loader sale y deja de ejecutarse.<\/p>\n<pre class=\"lang:default decode:true\">Detected as a virtual machine given key computer information.\r\n\r\nDetected as a virtual machine given bios information.\r\n\r\nDetected as a virtual machine given hard disk information.\r\n\r\nDetected as a virtual machine given PnP devices information.\r\n\r\nDetected as a virtual machine given Windows services information.<\/pre>\n<h4><a id=\"post-162913-_heading=h.p1xctd6jsahp\"><\/a>Establecimiento de la persistencia<\/h4>\n<p>PhantomVAI Loader usa uno o todos los m\u00e9todos siguientes para crear la persistencia:<\/p>\n<ul>\n<li>Una tarea programada ejecuta comandos PowerShell para descargar un archivo desde una URL controlada por el atacante. La tarea guarda el archivo con un nombre y una extensi\u00f3n espec\u00edficos y, a continuaci\u00f3n, lo ejecuta.<\/li>\n<li>Una tarea programada ejecuta un script utilizando <span style=\"font-family: 'courier new', courier, monospace;\">wscript.exe<\/span>. La ruta a este script se brinda como par\u00e1metro de la l\u00ednea de comandos.<\/li>\n<li>Una clave de registro para ejecutar un archivo espec\u00edfico. La ruta del archivo tambi\u00e9n se proporciona como argumento en la l\u00ednea de comandos.<\/li>\n<\/ul>\n<h4><a id=\"post-162913-_heading=h.ygw1yhv05g5k\"><\/a>Recuperaci\u00f3n de la carga \u00fatil y la inyecci\u00f3n<\/h4>\n<p>PhantomVAI Loader descarga la carga \u00fatil de la URL especificada como par\u00e1metro de l\u00ednea de comandos en el script de PowerShell de la etapa\u00a02. Luego, inyecta la carga \u00fatil en un proceso de destino que tambi\u00e9n se define con un par\u00e1metro de l\u00ednea de comandos, usando la funci\u00f3n <a href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\" rel=\"noopener\">vaciado de procesos<\/a>. El cargador inyecta la carga \u00fatil en un proceso situado en una de las siguientes cuatro rutas, seg\u00fan el argumento de la l\u00ednea de comandos y la arquitectura de la carga \u00fatil:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\SysWOW64\\<\/span><\/li>\n<\/ul>\n<p>En la mayor\u00eda de los casos observados al escribir este art\u00edculo, PhantomVAI Loader inyectaba la carga \u00fatil en el archivo de <a href=\"https:\/\/learn.microsoft.com\/en-us\/visualstudio\/msbuild\/msbuild?view=vs-2022\" target=\"_blank\" rel=\"noopener\">motor de compilaci\u00f3n<\/a> de Microsoft: <span style=\"font-family: 'courier new', courier, monospace;\">MSBuild.exe<\/span>. En la Figura\u00a06, se muestra un ejemplo de este tipo de inyecci\u00f3n, en el contexto de la cadena de infecci\u00f3n.<\/p>\n<figure id=\"attachment_162969\" aria-describedby=\"caption-attachment-162969\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162969 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-44753-162913-6.png\" alt=\"Captura de pantalla de la interfaz de Cortex XDR que muestra cuatro archivos: msedge.exe, wscript.exe, powershell.exe y MSBuild.exe. Cada archivo tiene su icono correspondiente, y powershell.exe muestra un s\u00edmbolo de advertencia y el c\u00f3digo de error asociado. Se marca en el cargador PhantomVAI cargado. \" width=\"1000\" height=\"361\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-44753-162913-6.png 1650w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-44753-162913-6-786x283.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-44753-162913-6-768x277.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-44753-162913-6-1536x554.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162969\" class=\"wp-caption-text\">Figura 6. Cadena de infecci\u00f3n que comienza con el usuario abriendo un correo electr\u00f3nico con <span style=\"font-family: 'courier new', courier, monospace;\">msedge.exe<\/span> (navegador Microsoft Edge) y termina con el cargador PhantomVAI inyectando la carga \u00fatil a <span style=\"font-family: 'courier new', courier, monospace;\">MSBuild.exe<\/span>.<\/figcaption><\/figure>\n<h2><a id=\"post-162913-_heading=h.7ssvy881pot4\"><\/a>Katz Stealer: Un nuevo stealer de malware como servicio<\/h2>\n<p>PhantomVAI Loader ha evolucionado para ofrecer una serie de infostealers. Como Katz Stealer es el menos conocido y documentado, lo analizamos aqu\u00ed con m\u00e1s detalle.<\/p>\n<p>Los actores de amenazas usan Katz Stealer para robar datos de las m\u00e1quinas infectadas, tales como:<\/p>\n<ul>\n<li>Credenciales del navegador<\/li>\n<li>Datos del navegador (como cookies, historial, datos de inicio de sesi\u00f3n)<\/li>\n<li>Monederos de criptomonedas<\/li>\n<li>Datos de Telegram<\/li>\n<li>Datos de Discord<\/li>\n<li>Informaci\u00f3n sobre el sistema operativo<\/li>\n<li>Datos de Steam y del juego<\/li>\n<li>Datos de VPN<\/li>\n<li>Datos de clientes FTP<\/li>\n<li>Datos de aplicaciones de comunicaci\u00f3n y mensajer\u00eda<\/li>\n<li>Datos de los clientes de correo electr\u00f3nico<\/li>\n<li>Capturas de pantalla<\/li>\n<li>Datos del portapapeles<\/li>\n<\/ul>\n<p>Katz Stealer tambi\u00e9n comprueba el idioma de la m\u00e1quina y lo compara con una lista de c\u00f3digos de pa\u00eds codificados mediante las siguientes API:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">GetKeyboardLayout<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">GetLocaleInfoA<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">GetSystemDefaultLangID<\/span><\/li>\n<\/ul>\n<p>Los c\u00f3digos de pa\u00eds que comprueba Katz Stealer forman parte de la <a href=\"https:\/\/en.wikipedia.org\/wiki\/Commonwealth_of_Independent_States\" target=\"_blank\" rel=\"noopener\">Comunidad de Estados Independientes (CEI)<\/a>, como se muestra en la Figura\u00a07. Si encuentra una coincidencia, Katz Stealer deja de ejecutarse. Esta comprobaci\u00f3n del idioma y el comportamiento posterior podr\u00edan proporcionar una pista sobre el origen del autor del malware.<\/p>\n<p>&nbsp;<\/p>\n<figure id=\"attachment_162980\" aria-describedby=\"caption-attachment-162980\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162980 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-47493-162913-7.png\" alt=\"Captura de pantalla con los c\u00f3digos de los pa\u00edses y sus correspondientes nombres completos, incluidos Rusia, Bielorrusia, Kazajst\u00e1n, Kirguist\u00e1n, Tayikist\u00e1n, Uzbekist\u00e1n, Armenia, Azerbaiy\u00e1n y Moldavia. Cada entrada lleva el prefijo \u201cdq offset\u201d. \" width=\"700\" height=\"182\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-47493-162913-7.png 1092w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-47493-162913-7-786x204.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-47493-162913-7-768x200.png 768w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-162980\" class=\"wp-caption-text\">Figura 7. Fragmento de c\u00f3digo que muestra los c\u00f3digos de pa\u00eds que comprueba Katz Stealer.<\/figcaption><\/figure>\n<h2><a id=\"post-162913-_heading=h.zfn7n4hana42\"><\/a>Conclusi\u00f3n<\/h2>\n<p>En este art\u00edculo, se destacan las campa\u00f1as de phishing que entregan PhantomVAI Loader, tambi\u00e9n conocido como Katz Stealer Loader. Combinando ingenier\u00eda social a trav\u00e9s de correos electr\u00f3nicos de phishing, scripts ofuscados, esteganograf\u00eda y un cargador .NET, esta cadena de infecci\u00f3n en varias etapas demuestra hasta d\u00f3nde son capaces de llegar los atacantes para evadir la detecci\u00f3n y eludir las defensas.<\/p>\n<p>Nuestra investigaci\u00f3n destaca c\u00f3mo ha evolucionado este cargador en el ecosistema de la ciberdelincuencia. Aunque en un principio los actores de amenazas usaban el cargador solo para distribuir Katz Stealer, las observaciones m\u00e1s recientes muestran que el cargador ahora distribuye otras cepas de malware, como AsyncRAT, XWorm, FormBook y DCRat.<\/p>\n<p>Las ofertas de MaaS como Katz Stealer son una amenaza omnipresente que puede afectar significativamente la seguridad y la privacidad al exponer datos confidenciales como contrase\u00f1as, datos de red, correos electr\u00f3nicos y archivos. Comprender las cadenas de ataque y las t\u00e9cnicas que usan los actores de amenazas para distribuir estas cargas \u00fatiles maliciosas es vital para garantizar la seguridad de las organizaciones.<\/p>\n<h3><a id=\"post-162913-_heading=h.21ufg43py9nc\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> ayudan a prevenir todas las amenazas descritas anteriormente al usar el <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">motor de prevenci\u00f3n de malware<\/a>. Este enfoque combina varias capas de protecci\u00f3n, entre ellas <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, la protecci\u00f3n contra amenazas de comportamiento y el m\u00f3dulo de an\u00e1lisis local, para impedir que el malware, tanto conocido como desconocido, cause da\u00f1os en los endpoints.<\/li>\n<\/ul>\n<p>En la Figura\u00a08, se muestran dos ejemplos de alertas de detecci\u00f3n que los correos electr\u00f3nicos de esta campa\u00f1a activan en Cortex XDR.<\/p>\n<figure id=\"attachment_162991\" aria-describedby=\"caption-attachment-162991\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162991 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-49721-162913-8.png\" alt=\"Dos capturas de pantalla de las advertencias de Cortex XDR. En la captura de pantalla de la izquierda, titulada \u201cTema y tono sospechosos en el correo electr\u00f3nico\u201d de XDR Analytics, se menciona el posible contenido malicioso del correo electr\u00f3nico. En la captura de pantalla de la derecha, titulada \u201cUso de caracteres hom\u00f3grafos detectados en un correo electr\u00f3nico\u201d, tambi\u00e9n de XDR Analytics, se alerta sobre caracteres que imitan letras latinas, suplantando potencialmente una marca o una identidad conocida.\" width=\"1000\" height=\"202\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-49721-162913-8.png 1598w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-49721-162913-8-786x158.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-49721-162913-8-768x155.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-49721-162913-8-1536x310.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162991\" class=\"wp-caption-text\">Figura 8. Detecci\u00f3n de correos electr\u00f3nicos de phishing que contienen temas sospechosos y caracteres hom\u00f3grafos.<\/figcaption><\/figure>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-162913-_heading=h.inf8xh7qanj\"><\/a>Indicadores de vulneraci\u00f3n<\/h2>\n<h3>Ejemplo de hash SHA256 para archivos<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">02aa167e4bb41e3e40a75954f5a0bd5915f9a16fd6c21b544a557f2a7df3c89b<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-162913-_heading=h.nsiy8bflsegx\"><\/a>Ejemplos de hashes SHA256 para JavaScript<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e663916cc91b4285a1ee762716ff7ce4537153c7893e2d88c13c7e57bbb646a9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45fddf55acb50df5b027701073dee604b4135f750c585b29d6dcac824f26ae00<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9f28f82d21fe99d0efdcab403f73870d68fd94e6d0f762e658d923ccd1e7424c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">05d66568017f2c2e417fa6680f9b4fa4a8a9bc1b7256fe46fbf3e71956b99773<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4346c3c08df612b8bcd23a3b57845755bafb0efc57ff77203f8da3b46628a008<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">0c0dae4d7da069c928f06addb1c5c824e820e4556a1244142f56227954bf9c7d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3a039ce210a0b5ff65f57d304519b885bae91d1bec345c54e59e07bc39fca97e<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-162913-_heading=h.nkvol2hh4f2h\"><\/a>Hashes SHA256 para PhantomVAI Loader<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4ab4a37db01eba53ee47b31cba60c7a3771b759633717e2c7b9c75310f57f429<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9ae50e74303cb3392a5f5221815cd210af6f4ebf9632ed8c4007a12defdfa50d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">893ee952fa11f4bdc71aee3d828332f939f93722f2ec4ae6c1edc47bed598345<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b60ee1cd3a2c0ffadaad24a992c1699bcc29e2d2c73107f605264dbf5a10d9b6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6051384898e7c2e48a2ffb170d71dbf87e6410206614989a037dac7c11b8d346<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">01222c6c2dbb021275688b0965e72183876b7adb5363342d7ac49df6c3e36ebe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6f7c5bad09698592411560a236e87acae3195031646ff06a24f1cfada6774ba6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6aa2989ebb38e77a247318b5a3410b5d4f72b283c7833a0b800ea7d1de84ccc6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4c5d7e437f59b41f9f321be8c17ae1f128c04628107a36f83df21b33d12ff8db<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">639eb0d2c2da5487412e7891638b334927232ff270781fad81dc5371f44f7c8e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">553d76d0c449377be550570e65e2bcae4371964fc3b539a1e1022d80699da5db<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a7993775f4518c6c68db08e226c11e51f9bc53314e4ff9385269baac582e2528<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7ddce5be3642b66c7559821e26877c9f0242c748da64b2e68a81844bb1a6b148<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">84e0a543df302b18f1188139160fc5a8bd669da071e492453d5d6756064ee568<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">97b76d61941b790deff9f025dec55484e32ebff32b1b6e173d6fbf42cd8996ef<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bf6a5e37097330d7d68b6ac3deb6a10a1d3269be575fd51315774d1e7e1eca34<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a62a81785714844a099a918c66df9367b5eb14df06e589d59bc81f392358c5cc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">920309f3822f993afeaa8ec70b4ef6b43dd2562be85cc2985efedc6cda2e7578<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">421c4b4b53d291da2b53c068a491b3913d92fe0eb6f330861e7b60f3d9f8eee7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">87fae395c0e9ce3631dece94971befa578623ff0540d06539f583df921568814<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4b8bde867c06b617d731ea9e965bf64800330701942324e475b8119352122e7c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3c6a8132df3351e2b7d186d0b3f41847e6920ebcb940548e3c9ed274901104c2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">76cbb0abd9511aab2cc9dda993e3b9ab77afb09d2959f143647065ca47e725cc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ed1b4a03595c59e5a90dd4f02f1993a2c5a43ca46a33aab0d15a1bbb1f8b3d30<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c44bac8b66ad11756b4c5ff3b1cd7e1187c634088f9e7aa2250067033df24e8d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">63dfdb4927c0bca64f8952904f463330360eb052f2a2a749bf91a851a2be89b4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">373c820cc395ea5b9c6f38b9470913e6684e8afea59e9dfeb3da490014074bf1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b263df6b58c9259000e45a238327de8c07e79f2e7462c2b687c1c5771bac1dd5<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f05bc36211301087e403df09daa014ea8f04f5bdae5cef75eb866b56b82af2d6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c45d3b6d2237fc500688a73d3ba18335d0002917f1a1f09df6934c87deaa097f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fcad234dc2ad5e2d8215bcf6caac29aef62666c34564e723fa6d2eee8b6468ed<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e05b7f44ef8d0b58cfc2f407b84dcff1cb24e0ec392f792a49ad71e7eab39143<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">87c9bede1feac2e3810f3d269b4492fe0902e6303020171e561face400e9bdb4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c3de728850dc1e777ad50a211a4be212ca6c4ac9d94bf7bb6d5f7fe5f4574021<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e5daa86418ac444d590a2c693cd7749d87134c47d8e0dbac30c69f23a8e8131f<\/span><\/li>\n<\/ul>\n<h3>Hashes SHA256 para Katz Stealer<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a6b736988246610da83ce17c2c15af189d3a3a4f82233e4fedfabdcbbde0cff0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">74052cf53b45399b31743a6c4d3a1643e125a277e4ddcfcad4f2903b32bc7dc4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">20bde6276d6355d33396d5ebfc523b4f4587f706b599573de78246811aabd33c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e345d793477abbecc2c455c8c76a925c0dfe99ec4c65b7c353e8a8c8b14da2b6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">96ada593d54949707437fa39628960b1c5d142a5b1cb371339acc8f86dbc7678<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">925e6375deaa38d978e00a73f9353a9d0df81f023ab85cf9a1dc046e403830a8<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b249814a74dff9316dc29b670e1d8ed80eb941b507e206ca0dfdc4ff033b1c1f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9b6fb4c4dd2c0fa86bffb4c64387e5a1a90adb04cb7b5f7e39352f9eae4b93fa<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d5ead682c9bed748fd13e3f9d0b7d7bacaf4af38839f2e4a35dc899ef1e261e2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ece74382ec6f319890e24abbf8e0a022d0a4bd7e0aeaf13c20bab3a37035dcd1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2dba8e38ac557374ae8cbf28f5be0541338afba8977fbff9b732dee7cee7b43e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">11e90765640cbb12b13afa1bcec31f96f50578a5e65e2aa7be24465001b92e41<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b2245ca7672310681caa52dc72e448983d921463c94cdab0ba9c40ad6b2a58fe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c929ee54bdd45df0fa26d0e357ba554ef01159533501ec40f003a374e1e36974<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c0e3c93c59b45e47dda93438311f50ddb95808fd615a467285c9c359bce02cf0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">309da3c8422422089b7f9af3b1b3f89e2d5c36e48e4d9d9faa07affb7d9a7b17<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fdc86a5b3d7df37a72c3272836f743747c47bfbc538f05af9ecf78547fa2e789<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">25b1ec4d62c67bd51b43de181e0f7d1bda389345b8c290e35f93ccb444a2cf7a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">964ec70fc2fdf23f928f78c8af63ce50aff058b05787e43c034e04ea6cbe30ef<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d92bb6e47cb0a0bdbb51403528ccfe643a9329476af53b5a729f04a4d2139647<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5dd629b610aee4ed7777e81fc5135d20f59e43b5d9cc55cdad291fcf4b9d20eb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b912f06cf65233b9767953ccf4e60a1a7c262ae54506b311c65f411db6f70128<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2852770f459c0c6a0ecfc450b29201bd348a55fb3a7a5ecdcc9986127fdb786b<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-162913-_heading=h.2r314hqck7iq\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.ibm.com\/think\/x-force\/dcrat-presence-growing-in-latin-america\" target=\"_blank\" rel=\"noopener\">DCRat Presence Growing in Latin America<\/a> (Crece la presencia de DCRat en Latinoam\u00e9rica), IBM<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.asyncrat\" target=\"_blank\" rel=\"noopener\">AsyncRAT Remote Access Tool<\/a> (Herramienta de acceso remoto AsyncRAT), Malpedia<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.xworm\" target=\"_blank\" rel=\"noopener\">XWorm Malware<\/a> (Malware XWorm), Malpedia<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.formbook\" target=\"_blank\" rel=\"noopener\">FormBook Malware<\/a> (Malware FormBook), Malpedia<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.dcrat\" target=\"_blank\" rel=\"noopener\">DCRat Remote Access Tool<\/a> (Herramienta de acceso remoto DCRat), Malpedia<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/visualstudio\/msbuild\/msbuild?view=vs-2022\" target=\"_blank\" rel=\"noopener\">Microsoft Build Engine<\/a> (Motor de compilaci\u00f3n de Microsoft), Microsoft Learn<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/003\/\" target=\"_blank\" rel=\"noopener\">Obfuscated Files or Information: Steganography<\/a> (Archivos o informaci\u00f3n ofuscados: Esteganograf\u00eda), MITRE<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\" rel=\"noopener\">Process Injection: Process Hollowing<\/a> (Inyecci\u00f3n del proceso: Vaciado de procesos), MITRE<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1127\/001\/\" target=\"_blank\" rel=\"noopener\">Trusted Developer Utilities Proxy Execution: MSBuild<\/a> (Ejecuci\u00f3n del proxy de servicios de desarrollador de confianza: MSBuild), MITRE<\/li>\n<li><a href=\"https:\/\/github.com\/robsonfelix\/VMDetector\" target=\"_blank\" rel=\"noopener\">VMDetector<\/a>, robsonfelix en GitHub<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/homograph-attacks\/\" target=\"_blank\" rel=\"noopener\">The \u0397\u043em\u043egraph Illusion: Not Everything Is As It Seems<\/a> (La ilusi\u00f3n del hom\u00f3grafo: No todo es lo que parece), Unit\u00a042 de Palo Alto Networks<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>PhantomVAI es un nuevo cargador usado para implementar m\u00faltiples infostealers. Analizamos su evoluci\u00f3n general y el uso de esteganograf\u00eda y scripts ofuscados.<\/p>\n","protected":false},"author":366,"featured_media":160759,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8793],"tags":[9718,9720,9197,9717,9221,9719],"product_categories":[8925,8921,8932,8934,8935,8890],"coauthors":[4094],"class_list":["post-162913","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-malware-es-la","tag-asyncrat-es-la","tag-formbook-es-la","tag-infostealer-es-la","tag-katz-stealer-es-la","tag-powershell-es-la","tag-xworm-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>El cargador PhantomVAI Loader ofrece una gama de infostealer<\/title>\n<meta name=\"description\" content=\"PhantomVAI es un nuevo cargador usado para implementar m\u00faltiples infostealers. Analizamos su evoluci\u00f3n general y el uso de esteganograf\u00eda y scripts ofuscados.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"El cargador PhantomVAI Loader ofrece una gama de infostealer\" \/>\n<meta property=\"og:description\" content=\"PhantomVAI es un nuevo cargador usado para implementar m\u00faltiples infostealers. Analizamos su evoluci\u00f3n general y el uso de esteganograf\u00eda y scripts ofuscados.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-15T20:00:20+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-24T20:14:09+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Tom Fakterman\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"El cargador PhantomVAI Loader ofrece una gama de infostealer","description":"PhantomVAI es un nuevo cargador usado para implementar m\u00faltiples infostealers. Analizamos su evoluci\u00f3n general y el uso de esteganograf\u00eda y scripts ofuscados.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/","og_locale":"es_LA","og_type":"article","og_title":"El cargador PhantomVAI Loader ofrece una gama de infostealer","og_description":"PhantomVAI es un nuevo cargador usado para implementar m\u00faltiples infostealers. Analizamos su evoluci\u00f3n general y el uso de esteganograf\u00eda y scripts ofuscados.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/","og_site_name":"Unit 42","article_published_time":"2025-10-15T20:00:20+00:00","article_modified_time":"2025-10-24T20:14:09+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Tom Fakterman","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"El cargador PhantomVAI Loader ofrece una gama de infostealer","datePublished":"2025-10-15T20:00:20+00:00","dateModified":"2025-10-24T20:14:09+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/"},"wordCount":3273,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","keywords":["AsyncRAT","Formbook","Infostealer","Katz Stealer","PowerShell","XWorm"],"articleSection":["Investigaci\u00f3n de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/","name":"El cargador PhantomVAI Loader ofrece una gama de infostealer","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","datePublished":"2025-10-15T20:00:20+00:00","dateModified":"2025-10-24T20:14:09+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"PhantomVAI es un nuevo cargador usado para implementar m\u00faltiples infostealers. Analizamos su evoluci\u00f3n general y el uso de esteganograf\u00eda y scripts ofuscados.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of PhantomVAI loader. Binary characters in the shape of a glowng skull set against a dark background."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/phantomvai-loader-delivers-infostealers\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"El cargador PhantomVAI Loader ofrece una gama de infostealer"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/162913","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=162913"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/162913\/revisions"}],"predecessor-version":[{"id":163013,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/162913\/revisions\/163013"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/160759"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=162913"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=162913"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=162913"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=162913"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=162913"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}