Microsoft ha revelado el desmantelamiento de GigaWiper, una avanzada puerta trasera para sistemas Windows que combina capacidades de espionaje, control remoto y destrucción total de equipos comprometidos. A diferencia de otras familias de malware especializadas en una única función, GigaWiper integra múltiples herramientas destructivas en una única plataforma modular, permitiendo que los operadores decidan en tiempo real cómo atacar a una organización una vez que han obtenido acceso a su infraestructura.
El análisis técnico realizado por Microsoft muestra que GigaWiper no se limita al robo de información o al cifrado de archivos. El malware incorpora tres mecanismos diferentes de destrucción de sistemas, utiliza técnicas avanzadas de persistencia, aprovecha servicios empresariales legítimos para ocultar sus comunicaciones y está diseñado para dificultar enormemente la recuperación de los equipos afectados.
Además, investigaciones independientes indican que esta amenaza podría estar relacionada con BLUERABBIT, una puerta trasera analizada recientemente por Binary Defense y vinculada por diversas fuentes a un presunto grupo de amenazas con nexos iraníes que habría dirigido operaciones contra organizaciones israelíes. Microsoft, sin embargo, evita atribuir oficialmente el malware a un país específico.
¿Qué es GigaWiper?
GigaWiper es una puerta trasera desarrollada en Go (Golang) para sistemas Windows que permite a los atacantes controlar completamente un equipo comprometido antes de ejecutar acciones destructivas.
A diferencia de un ransomware convencional, donde el objetivo suele ser obtener un pago económico, GigaWiper prioriza la destrucción irreversible de los sistemas.
Su arquitectura funciona mediante comandos numerados enviados desde servidores de mando y control (C2), permitiendo que los operadores seleccionen distintas funciones según los objetivos de la campaña.
Entre esas funciones destacan tres mecanismos de destrucción que convierten esta amenaza en una de las más peligrosas identificadas recientemente.
Tres métodos diferentes para destruir un sistema Windows
El aspecto más llamativo de GigaWiper es que incorpora tres herramientas destructivas completamente distintas.
1. Borrado completo del disco
La primera opción consiste en un wiper de disco capaz de sobrescribir directamente la unidad física.
El malware elimina la tabla de particiones, destruyendo la estructura del disco y sobrescribiendo los datos sin realizar un borrado tradicional archivo por archivo.
Una vez finalizado el proceso, el sistema reinicia automáticamente.
En este escenario la recuperación resulta prácticamente imposible sin disponer de copias de seguridad externas.
2. Un falso ransomware basado en Crucio
El segundo método utiliza código heredado del malware Crucio.
En apariencia actúa como un ransomware:
- Cifra archivos.
- Añade la extensión .candy.
- Cambia el fondo de pantalla por una imagen de advertencia.
Sin embargo, existe una diferencia fundamental.
El malware nunca almacena la clave de cifrado.
Esto significa que no existe posibilidad de recuperar los archivos ni siquiera pagando un supuesto rescate.
En realidad, el cifrado solo sirve para ocultar el verdadero propósito del ataque: destruir permanentemente la información.
3. Sobrescritura múltiple del disco de Windows
La tercera función consiste en una reimplementación en Go del malware destructivo conocido como FlockWiper.
Esta variante sobrescribe repetidamente la unidad donde está instalado Windows utilizando distintos patrones de datos.
El objetivo es impedir cualquier intento de recuperación mediante herramientas forenses o software especializado.
Un malware que también espía a sus víctimas
GigaWiper no solo destruye información.
Antes de ejecutar las acciones más agresivas, el malware incorpora un completo conjunto de funciones de espionaje.
Entre ellas destacan:
- Captura de pantallas de todos los monitores conectados.
- Grabación continua de la actividad en pantalla.
- Apertura de sesiones VNC ocultas.
- Control remoto del teclado y ratón.
- Obtención de información del sistema.
- Administración de procesos y servicios.
- Modificación del Registro de Windows.
- Eliminación de registros de eventos para borrar evidencias.
Microsoft también detectó funciones aún inactivas dentro del código analizado, incluyendo componentes destinados al registro de pulsaciones de teclado (keylogger) y nuevos módulos destructivos que podrían activarse en futuras versiones.
Técnicas avanzadas de persistencia y evasión
Para mantenerse oculto, GigaWiper emplea múltiples mecanismos destinados a pasar desapercibido.
Uno de ellos consiste en hacerse pasar por Microsoft OneDrive.
El malware crea una tarea programada denominada OneDrive Update, configurada para ejecutarse cada minuto.
Asimismo, registra información dentro de una clave del Registro ubicada en:
1 HKCU\SOFTWARE\OneDrive\Environment
Cuando establece comunicación con su infraestructura remota, también crea reglas de firewall utilizando nombres similares a componentes legítimos de Windows, como Microsoft.Windows.CloudExperienceHost, dificultando que los administradores detecten la actividad sospechosa.
Infraestructura basada en servicios empresariales legítimos
Otro aspecto especialmente sofisticado es la utilización de herramientas ampliamente empleadas en entornos corporativos.
En lugar de utilizar protocolos personalizados de malware, GigaWiper se comunica mediante:
- RabbitMQ para recibir tareas.
- Redis para enviar resultados.
- MinIO para la exfiltración de datos.
Al tratarse de plataformas perfectamente legítimas utilizadas por numerosas empresas, el tráfico generado puede confundirse fácilmente con operaciones normales de la infraestructura, complicando enormemente la detección.
Relación entre GigaWiper y BLUERABBIT
Un detalle relevante es que Microsoft y Binary Defense analizaron exactamente los mismos archivos maliciosos bajo nombres distintos.
Microsoft identifica la amenaza como GigaWiper, mientras que Binary Defense la rastrea como BLUERABBIT.
Ambos informes incluyen:
- Los mismos cuatro hashes de archivos.
- Los mismos servidores de mando y control.
- Funcionalidades prácticamente idénticas.
Además, Binary Defense, citando información del Google Threat Intelligence Group, considera que el malware podría estar relacionado con un actor vinculado a Irán que habría dirigido campañas contra organizaciones israelíes.
Microsoft, por el contrario, evita realizar una atribución geopolítica directa.
Posibles vínculos con campañas anteriores
El análisis del código revela importantes conexiones con herramientas previamente utilizadas en ataques destructivos.
Microsoft rastrea parte del código hasta:
- Crucio
- FlockWiper
Además, identificó una etiqueta recurrente denominada GRAT, presente tanto en rutas de depuración de FlockWiper como en funciones internas de GigaWiper.
Esta coincidencia sugiere que el mismo desarrollador o grupo responsable continúa evolucionando su plataforma ofensiva.
Por otra parte, Crucio ya había sido mencionado por CISA en un aviso de seguridad publicado en diciembre de 2023 relacionado con el grupo CyberAv3ngers, conocido por atacar infraestructuras críticas de agua y energía.
Entre los incidentes atribuidos a dicho grupo figuran ataques contra instalaciones en:
- Estados Unidos.
- Israel.
- Reino Unido.
- Irlanda.

Una amenaza que recuerda a NotPetya
La estrategia utilizada por GigaWiper guarda similitudes con NotPetya, uno de los ataques más devastadores registrados en la historia de la ciberseguridad.
Al igual que ocurrió en 2017, el malware aparenta comportarse como un ransomware cuando en realidad su verdadero propósito consiste en destruir completamente la información.
Este disfraz proporciona tiempo adicional a los atacantes.
Mientras la organización intenta averiguar cómo recuperar los archivos mediante un supuesto proceso de negociación, el daño real ya resulta irreversible.
Cómo detectar GigaWiper
Microsoft recomienda prestar especial atención a determinados indicadores de compromiso.
Entre ellos destacan:
- Aparición de una tarea programada denominada OneDrive Update ejecutándose cada minuto.
- Tráfico de RabbitMQ o Redis originado desde estaciones de trabajo normales.
- Uso inesperado de herramientas administrativas como takeown e icacls para modificar archivos críticos como bootmgr o ntoskrnl.exe.
- Actividad anómala relacionada con servicios VNC ocultos.
- Eliminación masiva de registros del Visor de Eventos de Windows.
La detección temprana resulta esencial, ya que una vez ejecutadas las funciones destructivas no existe forma práctica de recuperar la información sin copias de seguridad limpias.
Recomendaciones para proteger los sistemas
Microsoft recomienda implementar varias medidas de protección para reducir el riesgo de compromiso:
- Activar la protección contra manipulaciones (Tamper Protection) en Microsoft Defender.
- Ejecutar la protección de endpoints en modo bloqueo.
- Habilitar la protección automática basada en la nube.
- Bloquear los servidores de comando y control identificados durante la investigación.
- Mantener copias de seguridad desconectadas de la red (offline).
- Supervisar continuamente la actividad de tareas programadas y procesos administrativos.
Una plataforma modular que refleja la evolución del malware moderno
El análisis de Microsoft demuestra que GigaWiper no es simplemente un malware destructivo, sino una plataforma ofensiva en constante evolución que integra espionaje, persistencia, control remoto y múltiples mecanismos de destrucción dentro de un único implante.
La coexistencia de funciones activas e inactivas, junto con la reutilización de código procedente de familias anteriores como Crucio y FlockWiper, indica que sus desarrolladores continúan ampliando sus capacidades y refinando su arsenal.
Para los equipos de ciberseguridad, este caso pone de manifiesto una realidad cada vez más evidente: el malware moderno ya no revela por sí solo la intención del atacante. Una misma herramienta puede utilizarse para recopilar inteligencia, robar información, mantener acceso persistente o destruir por completo una infraestructura crítica, dependiendo de las órdenes enviadas por los operadores. Ante este escenario, la combinación de detección temprana, segmentación de redes, monitoreo continuo y copias de seguridad aisladas sigue siendo la mejor defensa frente a amenazas tan avanzadas como GigaWiper.
Fuente: The Hacker News
