Un nuevo informe de Koi Security ha destapado una de las operaciones cibernéticas más ambiciosas y sofisticadas de los últimos años. El grupo de amenazas GreedyBear ha logrado orquestar un ataque industrial que combina extensiones maliciosas para navegadores, malware ejecutable y páginas web fraudulentas para robar más de un millón de dólares en criptomonedas a víctimas de todo el mundo.
Lejos de los métodos tradicionales, en los que un grupo criminal se especializa en un solo vector de ataque, GreedyBear ha desplegado una ofensiva multi-vector con una complejidad digna de una empresa tecnológica de alto nivel.
En total, han utilizado 650 herramientas de hacking, incluyendo:
- 150 extensiones maliciosas para Firefox, disfrazadas de utilidades inofensivas como limpiadores de enlaces o descargadores de vídeos.
- Casi 500 ejecutables maliciosos para Windows, diseñados para robar credenciales, cifrar archivos y extorsionar a las víctimas.
Todas estas piezas se conectan a un único servidor de comando y control (C2), lo que les permite coordinar el robo, almacenar datos y gestionar el ransomware de forma centralizada.
La técnica de “Extension Hollowing”
El núcleo innovador de la campaña es un método llamado Extension Hollowing.
El proceso es ingenioso: primero suben extensiones legítimas a la tienda de Firefox, que pasan las revisiones de seguridad sin problemas. Luego, acumulan reseñas falsas para ganar credibilidad. Finalmente, actualizan el código de la extensión con malware que suplanta monederos de criptomonedas como MetaMask, TronLink o Exodus.
Estas extensiones alteradas interceptan las credenciales introducidas por el usuario y las envían junto con la IP de la víctima al servidor C2.
El ataque no se limita a las extensiones. GreedyBear también distribuye ejecutables basados en familias como LummaStealer para robar contraseñas y variantes de ransomware inspiradas en Luca Stealer para exigir rescates en criptomonedas.
El malware se propaga a través de páginas rusas que ofrecen software crackeado, y es modular: puede cambiar de función rápidamente según convenga.
Además, los atacantes han creado decenas de páginas falsas que imitan servicios legítimos de hardware wallets como Trezor o Jupiter. Estas webs roban claves privadas y datos de pago, abriendo la puerta a fraudes adicionales.
Investigadores de Koi Security señalan que GreedyBear ha incorporado fragmentos de código generados por inteligencia artificial para diversificar sus ataques y evadir los sistemas de detección más rápido que nunca.
Este nivel de automatización marca un cambio preocupante: el cibercrimen ya no solo escala en alcance, sino también en velocidad.
Lecciones para la industria
El caso de GreedyBear demuestra que las tiendas de extensiones de navegador son un punto débil crítico y que la verificación de código debe evolucionar para detectar ataques que se infiltran de forma gradual.
La coordinación de cientos de herramientas bajo una misma infraestructura muestra que los grupos de cibercrimen están operando con métodos cada vez más similares a los de las grandes corporaciones… solo que con objetivos muy distintos.