Descubre un nuevo malware llamado ChaosBot, el cual ha sido escrito en el lenguaje de programación Rust, y está poniendo en alerta a la comunidad de ciberseguridad. Este software malicioso está utilizando los Canales de Discord para controlar de forma remota los equipos infectados, ejecutando comandos, robando información e incluso, manteniendo acceso continuo en las PCs infectadas sin que la victima se de cuenta.
De acuerdo a la empresa de seguridad eSentire, el malware ChaosBot fue detectado por primera vez a finales de septiembre de 2025 en una sección del sector financiero. El ataque se originó a través de credenciales comprometidas que daban acceso a una VPN de Cisco y a una cuenta de Active Directory con permisos excesivos. Con esa puerta abierta, los atacantes lograron ejecutar comandos remotos de red y desplegar el malware en varios equipos.
Relacionado / ¡Discord desmiente el Megahackeo!
Así actúa ChaosBot: ingeniería social y control total
Los atacantes están utilizando correos phishing que contienen archivos LNK (accesos directos de Windows) que aparentan ser documentos legítimos. Sin embargo, al abrirlos, se ejecutan comandos de PowerShell que realizan descargas e instalan archivos maliciosos, mientras a la victima le muestra un archivo PDF como señuelo.
El principal archivo malicioso se llama msedge_elf.dll, se instala utilizando un binario legítimo de Microsoft Edge (identity_helper.exe). Una vez instalado en el sistema, el malware realiza un escaneo completo de todo el equipo, luego abre un proxy inverso para mantener el acceso constante y se conecta a un canal privado de Discord, desde donde recibe órdenes del atacante.
Algunos de los comandos que ChaosBot puede ejecutar son:
- Capturar pantallas y enviarlas por Discord.
- Subir o descargar archivos del equipo infectado.
- Ejecutar instrucciones de PowerShell de forma remota.
No obstante, en las versiones más recientes, los ciberdelincuentes detrás de este peligroso malware han añadido nuevas técnicas de evasión más avanzadas que permite detectar si está siendo analizado en una máquina virtual para ocultarse y evitar se detectado por los sistemas de seguridad.
Una amenaza que evoluciona: del espionaje al ransomware
Pero lo preocupante es que ChaosBot es que forma parte de una amplia familia de amenazas, según informaron desde Fortinet, existe otra variante llamada Chaos-C++, que incluye funciones más destructivas y especializa en el robo financiero.
Esta variante elimina de forma permanente todos los archivos grandes en lugar de cifrarlos y realiza modificaciones en el portapapeles del sistema para reemplazar por direcciones de Bitcoin de los atacantes, redirigiendo posibles transferencias de criptomonedas.
Esta doble estrategia de cifrado destructivo y robo financiero encubierto subraya la transición de Chaos hacia una amenaza más agresiva y multifacética diseñada para maximizar las ganancias financieras, señalaron los investigadores de Fortinet.
Por otra parte, el malware Chaos-C++ también se disfraza de aplicaciones falsas como System Optimizer v2.1 o de supuestas herramientas de IA, como ChatGPT o InVideo AI, con el objetivo de engañar a los usuarios y conseguir que lo instalen en sus PCs.
Llega una nueva era de malware con inteligencia y persistencia
La aparición de ChaosBot muestra una tendencia clara: los ciberdelincuentes están aprovechando las plataformas digitales como Discord para sus operaciones. Esto les permite comunicarse sin levantar sospecha y controlar los sistemas comprometidos de manera más eficiente.
Con la arquitectura Rust, su comunicación cifrada y su capacidad de evadir el análisis, ChaosBot representa una de las amenazas más avanzadas y difíciles de rastrear hasta el momento. Los expertos de seguridad recomiendan extremar las precauciones ente correos desconocidos, evitar abrir archivos, Link o peor aún, descargar archivos sospechosos.
