Operación Dragon Boss: El malware que desactiva antivirus con payloads firmados

La seguridad informática ha operado históricamente bajo un principio fundamental: la confianza en la identidad. Durante décadas, las firmas digitales han sido el “sello de cera” que garantizaba que un software era legítimo y provenía de una fuente verificada. Sin embargo, el 16 de abril de 2026, esta premisa fue brutalmente desmantelada. La denominada Operación Dragon Boss ha emergido como una de las campañas más sofisticadas y masivas de subversión de la cadena de suministro, logrando desactivar protecciones de antivirus en más de 23,000 endpoints a nivel global mediante el abuso de certificados de firma de código legítimos.

Lo que inicialmente parecía ser un brote de Adware agresivo o Programas Potencialmente No Deseados (PUPs), se reveló como una operación de precisión quirúrgica. Utilizando instaladores firmados por la entidad “Dragon Boss Solutions LLC”, los atacantes no solo eludieron las defensas perimetrales, sino que desplegaron un arsenal técnico diseñado para “cegar” a los sistemas de seguridad antes de proceder con el robo masivo de información sensible. En este editorial, analizamos la anatomía técnica de esta amenaza y las implicaciones para la ciberresiliencia en un ecosistema donde la confianza es ahora el mayor vector de ataque.

La anatomía de la Operación Dragon Boss: Cuando la confianza es el arma

La Operación Dragon Boss no comenzó con un exploit de día cero (zero-day) o un sofisticado ataque de phishing dirigido. En su lugar, aprovechó una vulnerabilidad mucho más profunda: el modelo de confianza implícito que los sistemas operativos modernos otorgan al software firmado digitalmente. El dropper principal, un binario compilado en Rust para maximizar la eficiencia y dificultar la ingeniería inversa, se distribuía bajo la apariencia de navegadores web alternativos y herramientas de búsqueda como Chromstera Browser, WorldWideWeb y Artificius Browser.

Estos binarios poseían firmas digitales válidas emitidas a favor de Dragon Boss Solutions LLC, una empresa con sede en Sharjah, Emiratos Árabes Unidos. Al contar con un certificado legítimo, el malware lograba evadir las inspecciones profundas de los motores de análisis de comportamiento y los filtros SmartScreen, que suelen priorizar la revisión de archivos no firmados. Una vez que el usuario ejecutaba el instalador, la operación pasaba de una simple instalación de adware a una desactivación sistémica del entorno de seguridad.

El mecanismo de entrega: Abuso de Advanced Installer

Uno de los hallazgos más alarmantes de la Operación Dragon Boss es el uso de infraestructuras comerciales legítimas para la entrega de cargas útiles. Los atacantes utilizaron la herramienta Advanced Installer, un software estándar en la industria para la creación de paquetes MSI, para gestionar las actualizaciones. Esta táctica permitía a los atacantes:

• Ejecución con privilegios SYSTEM: Los servicios de actualización suelen correr con los permisos más altos del sistema operativo para poder modificar archivos del sistema y registros.
• Silencio Operativo: Las banderas de configuración del instalador se configuraron para que el proceso de actualización fuera completamente invisible para el usuario final, sin ventanas emergentes ni solicitudes de confirmación.
• Persistencia Dinámica: El sistema de actualización verificaba periódicamente nuevos comandos desde el servidor C2, permitiendo a los atacantes “actualizar” su malware para evadir nuevas firmas de detección.

Neutralización total: El script ClockRemoval.ps1

Una vez que el instalador MSI lograba establecerse, desplegaba el verdadero corazón de la Operación Dragon Boss: un script de PowerShell denominado ClockRemoval.ps1. Este componente no es un simple troyano de acceso remoto; es un “asesino de antivirus” diseñado para desmantelar la pila de seguridad de Windows de manera irreversible.

El script ClockRemoval.ps1 ejecutaba una secuencia de comandos agresiva que incluía:

1. Identificación de procesos: Escaneaba el sistema en busca de servicios asociados con Malwarebytes, Kaspersky, McAfee y ESET.
2. Terminación forzada: Utilizaba comandos de bajo nivel para detener los procesos de seguridad antes de que estos pudieran detectar la actividad sospechosa en la memoria.
3. Envenenamiento del archivo HOSTS: El malware modificaba el archivo C:\Windows\System32\drivers\etc\hosts para redirigir los dominios de actualización de los fabricantes de antivirus a la dirección IP 0.0.0.0 (null-routing). Esto garantizaba que, incluso si el antivirus lograba reiniciarse, no pudiera descargar nuevas firmas para detectar a Dragon Boss.
4. Limpieza de Registro: Eliminaba las claves de registro relacionadas con el inicio automático de los productos de seguridad, asegurando que estos no volvieran a ejecutarse tras un reinicio.
5. Exclusiones de Windows Defender: El script añadía directorios específicos, como DGoogle y EMicrosoft, a la lista de exclusiones de Microsoft Defender, creando “zonas seguras” donde los atacantes podían alojar sus payloads secundarios sin temor a ser escaneados.

Persistencia mediante WMI y Tareas Programadas

Para garantizar que el sistema permaneciera vulnerable, la Operación Dragon Boss establecía mecanismos de persistencia redundantes. Se identificaron suscripciones de eventos de Windows Management Instrumentation (WMI) bajo los nombres MbRemoval y MbSetup, así como tareas programadas denominadas WMILoad. Estos disparadores ejecutaban el script de limpieza cada 30 minutos y en cada inicio de sesión, frustrando cualquier intento de recuperación manual por parte del administrador del sistema.

La fase final: Despliegue de Vidar Stealer 2.0

Con las defensas del endpoint completamente neutralizadas, la Operación Dragon Boss procedía a su objetivo económico: el despliegue de Vidar Stealer. En su versión 2.0 observada en 2026, este infostealer ha demostrado una capacidad sin precedentes para exfiltrar datos críticos en cuestión de segundos.

Vidar Stealer se especializa en la recolección de:

• Credenciales de Navegador: Contraseñas almacenadas en Chrome, Firefox y el nuevo “navegador” falso instalado por los atacantes.
• Billeteras de Criptomonedas: Búsqueda activa de llaves privadas y archivos de carteras digitales en el disco duro.
• Tokens de Sesión Activa: Robo de cookies de sesión para omitir la autenticación de dos factores (2FA) en servicios como Azure, Google y plataformas bancarias.
• Datos de Aplicaciones de Mensajería: Extracción de bases de datos de Telegram y Discord para espionaje corporativo.

La combinación de un desactivador de AV firmado y un infostealer de alto rendimiento convierte a la Operación Dragon Boss en una amenaza de doble impacto: primero destruye la infraestructura de defensa y luego saquea los activos digitales de la organización.

Impacto Global y el Error de 10 Dólares

El alcance de esta campaña ha sido masivo. Se han confirmado infecciones en 124 países, con una concentración significativa en los Estados Unidos (54%), Francia, Canadá y el Reino Unido. Sin embargo, el impacto en Latinoamérica no debe subestimarse, ya que muchas organizaciones en la región dependen de arquitecturas de confianza basadas exclusivamente en la validación de firmas digitales y carecen de sistemas de monitoreo de comportamiento avanzado.

Un aspecto irónico y revelador de la investigación liderada por firmas como Huntress y analizada por el equipo de “Ninja Editor”, es que la operación pudo ser contenida gracias a un descuido técnico de los atacantes. El dominio principal configurado en el sistema de actualización, chromsterabrowser[.]com, no había sido registrado inicialmente por los criminales. Esto permitió a los investigadores de seguridad registrar el dominio por apenas 10 dólares, “secuestrar” el canal de actualización y convertirlo en un sinkhole. En tan solo 24 horas, más de 23,500 direcciones IP únicas intentaron conectarse al dominio buscando instrucciones, revelando la magnitud real de la red de compromiso.

Sectores Críticos Afectados

A diferencia de las campañas de adware tradicionales que afectan principalmente a usuarios domésticos, la Operación Dragon Boss ha logrado penetrar en redes de alto valor:

• Sector Educativo: Más de 220 universidades comprometidas.
• Infraestructura Crítica (OT): 41 redes de tecnología operativa, incluyendo empresas de energía eléctrica.
• Gobierno y Salud: Decenas de entidades gubernamentales y hospitales cuyos sistemas de registro de pacientes quedaron expuestos.

Recomendaciones Estratégicas y Mitigación

La Operación Dragon Boss marca el fin de la era de la “confianza ciega” en el código firmado. Las organizaciones deben evolucionar hacia un modelo de Zero Trust aplicado al software, donde la firma digital sea solo uno de los muchos factores de verificación.

Para mitigar los riesgos asociados con esta operación, se recomiendan las siguientes acciones técnicas:

• Auditoría de Certificados: Realizar un escaneo proactivo en todos los endpoints en busca de procesos firmados por “Dragon Boss Solutions LLC”.
• Monitoreo de WMI y Tareas Programadas: Implementar alertas para la creación de suscripciones WMI inusuales o tareas programadas con nombres como WMILoad o ClockRemoval.
• Verificación de Archivo HOSTS: Utilizar herramientas de gestión de configuración (como GPO o Intune) para forzar la integridad del archivo HOSTS y detectar entradas que apunten a 0.0.0.0.
• Análisis de Exclusiones de Defender: Revisar periódicamente las exclusiones de Microsoft Defender para asegurar que no se hayan añadido rutas sospechosas (como C:\DGoogle).
• Bloqueo de Dominios de Indicadores de Compromiso (IOCs): Bloquear de manera inmediata dominios como chromsterabrowser[.]com y worldwidewebframework3[.]com en el nivel de DNS corporativo.

En conclusión, la Operación Dragon Boss es un recordatorio potente de que los atacantes modernos no necesitan romper la cerradura si pueden falsificar la llave. La sofisticación del dropper en Rust, la eficiencia del script ClockRemoval y el uso estratégico de certificados legítimos demuestran que la cadena de suministro de software sigue siendo el eslabón más débil y, a la vez, el más peligroso de la ciberseguridad global en 2026.