BEIJING – Los investigadores de seguridad de 360 Netlab han lanzado una advertencia urgente sobre la creciente actividad de PureCrypter, un cargador (loader) de malware que se ha convertido en una pieza central del ecosistema del cibercrimen bajo el modelo de Malware-as-a-Service (MaaS).
A diferencia de otros virus que tienen un objetivo específico, PureCrypter actúa como un servicio de mensajería de élite para otros grupos criminales, especializándose en "promocionar" e instalar diversas familias de malware en máquinas infectadas a cambio de un pago.
Un centro logístico para el malwareSegún el último informe de Netlab, PureCrypter no es un recién llegado —ha estado activo desde al menos marzo de 2021—, pero su volumen de operaciones ha alcanzado niveles críticos en 2026. Los analistas han detectado que este loader está distribuyendo activamente más de 10 familias de malware diferentes, transformando una sola infección inicial en una pesadilla multifacética para las víctimas.
Entre las "mercancías" que PureCrypter está entregando actualmente se encuentran:
Spyware y Robadedatos: AgentTesla, SnakeKeylogger y Formbook.
Troyanos de Acceso Remoto (RAT): AsyncRAT y Remcos.
Infostealers: Redline, capaz de vaciar carteras de criptomonedas y credenciales de navegador en segundos.
Lo que hace que PureCrypter sea especialmente peligroso para las empresas es su sofisticada técnica de evasión. El malware está escrito en C# y utiliza un complejo sistema de "capas" para ocultarse de los antivirus tradicionales.
El Auge del MaaS (Malware-as-a-Service)"PureCrypter no solo descarga el virus final; lo envuelve en técnicas de cifrado, compresión e incluso inversión de nombres de archivos para pasar desapercibido", explican los expertos de Netlab. "Es un motor de promoción altamente eficiente que utiliza cientos de dominios de Comando y Control (C2) para asegurar que su infraestructura sea difícil de derribar".
La investigación destaca una tendencia alarmante: el cibercrimen se está volviendo cada vez más modular. Los desarrolladores de PureCrypter no necesitan saber cómo robar un banco; solo necesitan perfeccionar el arte de entrar en una computadora y mantenerse allí. Luego, alquilan ese "espacio" a otros criminales que traen sus propios virus especializados.
Este modelo de negocio permite que incluso atacantes con pocos conocimientos técnicos puedan lanzar campañas globales devastadoras simplemente comprando una suscripción a PureCrypter.
Recomendaciones de DefensaPara contrarrestar esta amenaza, 360 Netlab recomienda:
Monitoreo de red estricto: Vigilar conexiones salientes hacia dominios sospechosos o IPs no reconocidas, ya que PureCrypter depende constantemente de su red C2.
Protección de Endpoints avanzada: Utilizar soluciones de detección y respuesta (EDR) que analicen el comportamiento de los procesos en memoria, ya que PureCrypter suele ejecutar el malware final sin escribirlo directamente en el disco.
Educación contra el Phishing: La mayoría de las infecciones iniciales de PureCrypter todavía comienzan con un correo electrónico malicioso que contiene un archivo adjunto aparentemente inofensivo.
Con cientos de servidores activos y una lista de clientes en crecimiento, PureCrypter se consolida como uno de los motores más persistentes y peligrosos de la ciberdelincuencia actual.
*** Publicado: 20 de abril de 2026.