Un nuevo malware de robo de información llamado AuraStealer ha estado haciendo sentir su presencia en el panorama de la ciberseguridad desde mediados de 2025. Desarrollado y mantenido activamente por un grupo de individuos de habla rusa, el malware apareció por primera vez en foros clandestinos de hackers en julio de 2025, poco después de que la interrupción de la infraestructura del stealer Lumma dejara un vacío notable en el mercado de infostealers

Un nuevo malware de robo de información llamado AuraStealer ha estado dejando su huella en el panorama de la ciberseguridad desde mediados de 2025.

Desarrollado y mantenido activamente por un grupo de individuos de habla rusa, el malware apareció por primera vez en foros clandestinos de hackers en julio de 2025, poco después de que la interrupción de la infraestructura del stealer Lumma dejara un vacío notable en el mercado de infostealers.

El actor de amenazas se movió rápidamente para llenar ese vacío, posicionando a AuraStealer como un competidor directo de LummaC2, con un modelo de suscripción, un panel de gestión pulido y una base de usuarios activa que sigue expandiéndose.

El malware se promocionó por primera vez en el foro XSS el 8 de julio de 2025, bajo el nombre de usuario "AuraCorp", con una extensa publicación en ruso que detallaba las características del malware, incluía capturas de pantalla del panel e incluso listaba un acuerdo de usuario.

El mismo mensaje se publicó más tarde en Exploit el 7 de agosto de 2025, seguido de Darkmarket el 29 de noviembre, y luego en múltiples foros en inglés como Blackbones, Sinister, Enclave y Darkstash en diciembre de 2025.

El desarrollador afirma que la herramienta está construida por profesionales con experiencia y puede recolectar datos de más de 110 navegadores, más de 70 aplicaciones y más de 250 extensiones de navegador, convirtiéndola en una amenaza de amplio alcance por diseño.

Analistas de Intrinsec identificaron a AuraStealer como una amenaza en rápido crecimiento respaldada por una infraestructura de comando y control (C2) bien estructurada. Su investigación descubrió 48 nombres de dominio C2 vinculados a las operaciones de AuraStealer, extraídos de más de 200 muestras encontradas en VirusTotal.

El actor de amenazas utiliza dominios de nivel superior .SHOP y .CFD, ambos económicos y comúnmente abusados por operadores con bajo presupuesto. Para ocultar el servidor real, el actor redirige todo el tráfico a través de Cloudflare como proxy inverso.

Los analistas señalaron que la infraestructura C2 parece estar cambiando de dominios .SHOP a .CFD en versiones más recientes del malware, lo que indica una operación en constante evolución.

El panel del malware ofrece a los compradores todo lo necesario para gestionar campañas: generación de builds, filtrado de logs, paneles con desgloses geográficos e integración con bots de Telegram para recibir datos robados.

Se vende en dos paquetes de suscripción: $295/mes para el Básico y $585/mes para el Avanzado.

El desarrollador ha declarado abiertamente que antiguos usuarios de Lumma, StealC, Vidar y Rhadamanthys están migrando, y múltiples campañas ya han sido confirmadas en la naturaleza.

La gama de datos que recopila el malware es impactante: credenciales de navegadores, datos de carteras de criptomonedas, tokens 2FA, cookies de sesión de Discord, Telegram y Steam, archivos de configuración de VPN, bases de datos de gestores de contraseñas como KeePass y Bitwarden, contenido del portapapeles y capturas de pantalla de la víctima.

ClickFix y cadenas de distribución basadas en loaders

AuraStealer llega principalmente a las víctimas a través de una técnica de ingeniería social llamada ClickFix.

Investigadores de seguridad documentaron una campaña notable en octubre de 2025 en la que videos maliciosos de TikTok se hacían pasar por tutoriales para activar software popular como Windows, Microsoft 365, Adobe Photoshop y Spotify.

A los espectadores se les indicaba abrir PowerShell con privilegios de administrador y ejecutar un comando corto de una línea. Ese comando descargaba y ejecutaba silenciosamente una muestra de AuraStealer en la máquina de la víctima sin ninguna advertencia visible.

Junto con los señuelos de TikTok, el malware se ha distribuido a través de una amplia gama de loaders y downloaders.

En varios casos, AuraStealer se inyectó en procesos legítimos de Windows como regasm.exe y SndVol.exe utilizando scripts de Visual Basic, archivos autoejecutables y loaders de shellcode Donut.

En otros casos, un loader conocido como "Soulbind" recuperaba y ejecutaba la carga útil desde servidores remotos. DLLs maliciosas de .NET, técnicas de DLL sideloading y una herramienta de limpieza falsa llamada Gcleaner también se han utilizado en diferentes campañas.

Los equipos de seguridad deben bloquear la ejecución de PowerShell activada por contenido de redes sociales o sitios no oficiales de activación de software. Las soluciones de endpoint deben configurarse para detectar y alertar sobre la inyección de procesos en binarios legítimos del sistema Windows.

Los 48 dominios C2 conocidos documentados en este informe deben bloquearse en el perímetro de la red sin demora.

La capacitación en concientización para empleados es esencial para ayudar a los usuarios a identificar ataques de ingeniería social estilo ClickFix, especialmente aquellos distribuidos a través de plataformas de video como TikTok.

Restringir el acceso administrativo a PowerShell y habilitar listas blancas de aplicaciones puede reducir significativamente el riesgo de infección en toda la organización.