El panorama de las amenazas digitales evoluciona constantemente, y una de las tendencias más preocupantes es la sofisticación de las campañas de criptojacking. Ya no se trata de infectar la mayor cantidad de dispositivos posible, sino de seleccionar cuidadosamente aquellos con hardware de alto rendimiento, como GPUs potentes, para maximizar el beneficio económico. Los atacantes han adoptado técnicas de envenenamiento de resultados de búsqueda (SEO poisoning) y, de forma más reciente, han comenzado a explotar interacciones con asistentes basados en inteligencia artificial para dirigir a los usuarios hacia sitios maliciosos que imitan herramientas legítimas de diagnóstico y monitorización de hardware. Una vez que la víctima descarga e instala el supuesto programa, se inicia una cadena de infección que combina DLL sideloading, la instalación silenciosa de herramientas de acceso remoto como ScreenConnect, y finalmente un malware que realiza process hollowing sobre binarios firmados de Microsoft .NET para ejecutar un minero de criptomonedas. Esta estrategia no solo permite evadir defensas tradicionales, sino que también otorga a los atacantes persistencia y capacidad de movimiento lateral, abriendo la puerta a robos de datos o incluso ransomware.

La campaña descrita por investigadores de seguridad muestra un nivel de planificación inusual: los actores maliciosos seleccionan aplicaciones populares entre entusiastas del hardware, como herramientas de información del sistema o codecs, sabiendo que ese perfil de usuario suele disponer de GPUs dedicadas. El engaño comienza en buscadores o incluso en respuestas de chatbots de IA, donde se ofrecen enlaces que redirigen a páginas gemelas controladas por los atacantes. Tras la descarga, un ejecutable aparentemente legítimo carga una DLL maliciosa que, a su vez, despliega ScreenConnect, un software de administración remota legítimo que es reutilizado para establecer un canal de control persistente. Desde ese punto, los atacantes pueden transferir cargas adicionales, como un binario que implementa process hollowing sobre procesos de .NET (InstallUtil, RegAsm, MSBuild, entre otros) y que además realiza una exhaustiva recolección de información del sistema, incluyendo modelo de GPU, temperatura, nivel de uso y actividad del usuario. El minero solo se activa cuando el dispositivo está inactivo, evitando levantar sospechas, y los atacantes incluso monitorizan si se ejecutan herramientas de análisis para detener el proceso.

Frente a amenazas tan evolucionadas, la ciberseguridad ya no puede limitarse a instalar un antivirus tradicional. Las empresas y desarrolladores necesitan un enfoque integral que incluya protección en la nube, detección y respuesta en endpoints (EDR), reglas de reducción de superficie de ataque, y, sobre todo, una cultura de seguridad en el desarrollo de software. En Q2BSTUDIO entendemos que cada organización requiere soluciones adaptadas a sus procesos y riesgos específicos. Por ello ofrecemos ia para empresas que puede ayudar a detectar patrones anómalos, así como servicios de pentesting que validan la robustez de las infraestructuras frente a vectores como el SEO poisoning o el abuso de herramientas legítimas. Además, nuestra experiencia en aplicaciones a medida y software a medida nos permite integrar controles de seguridad desde la fase de diseño, evitando que vulnerabilidades como el DLL sideloading o el process hollowing puedan explotarse en entornos corporativos.

La inteligencia artificial también juega un papel dual en este escenario. Por un lado, los atacantes la utilizan para generar respuestas convincentes en chatbots y crear contenido envenenado que engaña a los usuarios. Por otro, los defensores pueden emplear agentes IA para analizar grandes volúmenes de telemetría, identificar campañas emergentes y automatizar respuestas. En Q2BSTUDIO desarrollamos soluciones de inteligencia artificial que potencian la seguridad ofensiva y defensiva, ayudando a las empresas a anticiparse a estos ataques. Asimismo, nuestros servicios cloud aws y azure permiten desplegar arquitecturas seguras y escalables, donde la monitorización continua y la aplicación de políticas de restricción de ejecución (como las reglas de reducción de superficie de ataque) son fundamentales para bloquear intentos de instalación de componentes maliciosos.

Más allá de la respuesta técnica, la lección que deja esta campaña es que la seguridad debe ser un proceso dinámico. Los atacantes innovan constantemente, combinando ingeniería social, abuso de herramientas de administración remota y técnicas de evasión como el process hollowing. Para las organizaciones, contar con un socio tecnológico que integre servicios inteligencia de negocio y power bi para visualizar riesgos, junto con capacidades de desarrollo seguro y ciberseguridad, es clave para mantener la ventaja. En Q2BSTUDIO ayudamos a las empresas a transformar su postura de seguridad, desde la auditoría inicial hasta la implementación de soluciones personalizadas que mitiguen amenazas como el criptojacking dirigido a GPUs, protegiendo tanto los activos informáticos como la continuidad del negocio.