¿Copias la dirección de tu monedero? Verifícala: Phorpiex está listo para suplantarla y robar tus fondos
La red de ciberdelincuentes Phorpiex infectó 1,7 millones de dispositivos distintos en los últimos tres meses.
Una botnet antigua, de la que muchos ya se habían olvidado, resultó ser inesperadamente mucho más peligrosa de lo que se creía. La red Phorpiex, conocida desde 2011, no solo sobrevivió, sino que se convirtió en una herramienta versátil para ataques masivos, extorsión y robo de criptomonedas.
Los especialistas de Bitsight Research analizaron la nueva actividad de Phorpiex en su variante Twizt. A lo largo de los años, la botnet cambió de papel: empezó con envíos de spam y ahora funciona como una plataforma completa para la distribución de malware. La red combina servidores de comando y control clásicos con intercambio punto a punto entre máquinas infectadas, por lo que desconectar la infraestructura es casi imposible. Incluso si los servidores dejan de estar disponibles, los dispositivos infectados siguen transmitiéndose órdenes entre sí.
La magnitud de la infección impresiona. Cada día se registran alrededor de 125 000 dispositivos infectados, de los cuales aproximadamente 70 000 participan en la red punto a punto. En los últimos tres meses, las máquinas infectadas se conectaron desde más de 1,7 millones de direcciones IP únicas. Las infecciones se detectan con mayor frecuencia en Irán, Uzbekistán, China, Kazajistán y Pakistán. Esta distribución se relaciona con el esquema principal de lucro: la sustitución de direcciones de monederos de criptomonedas en el portapapeles.
Phorpiex vigila constantemente lo que el usuario copia. Si el malware detecta una dirección de monedero, la sustituye al instante por la dirección del atacante. En las versiones actuales están incluidos casi 90 monederos distintos para diferentes monedas.
Aparte del robo de criptomonedas, la botnet se utiliza activamente para distribuir ransomware. En el otoño de 2025, por Phorpiex se difundió una versión de LockBit Black. Las máquinas infectadas recibían un cargador que comprobaba si el equipo estaba conectado a una red corporativa o funcionaba como servidor. Si las condiciones se cumplían, se descargaba un cifrador en el dispositivo.
En enero de 2026, los operadores lanzaron otra campaña con la variante Global ransomware. Esta vez el ataque se dirigió únicamente a usuarios en China. El malware determinaba el país mediante servicios de red públicos y activaba el cifrado solo en los dispositivos relevantes. Como resultado, se observó una caída de la actividad de aproximadamente 7 000 máquinas infectadas, un valor comparable al 10 % de todos los dispositivos observados.
La propagación se realiza mediante correos masivos con adjuntos. La víctima recibe un archivo comprimido supuestamente con un documento, dentro del cual hay un enlace que lanza el comando PowerShell. Tras su ejecución, el sistema descarga la siguiente etapa del ataque y, finalmente, obtiene el cifrador. Una campaña de este tipo puede alcanzar entre 2 y 6 millones de direcciones de correo electrónico.
La misma botnet envía mensajes de extorsión. En los correos, los atacantes afirman haber accedido a la cámara web de la víctima y exigen alrededor de 1 800 dólares en bitcoin. Textos similares circulan por la red desde hace varios años, pero la suma del rescate va aumentando gradualmente.
Phorpiex se propaga como un gusano. El malware se copia en medios extraíbles y en unidades de red, ocultándose como archivos normales. Al abrir uno de esos archivos, la infección continúa. Paralelamente, el código se integra en otros archivos ejecutables del equipo para consolidarse en el sistema.
Además, el malware sabe eludir las defensas. Se añade a la lista de aplicaciones permitidas del cortafuegos de Windows e incluso intenta reconfigurar el router doméstico mediante la función de configuración automática para aceptar conexiones entrantes. Como resultado, el dispositivo infectado puede convertirse por sí mismo en parte de la infraestructura de mando y control.
Otra característica es la protección contra la interceptación del control. Todos los comandos y archivos se cifran utilizando criptografía de clave pública. Sin la clave privada de los atacantes, es prácticamente imposible introducir órdenes propias en la red.
A pesar de su antigüedad, Phorpiex sigue activo y evoluciona. Los operadores prueban nuevos escenarios de ataque: primero verifican la escala de la infección y luego lanzan campañas a gran escala. Esta táctica cautelosa permite no perder el control de la red y, al mismo tiempo, aumentar las ganancias.