StealC y Amadey: Desglose de infostealers y el cibercrimen

Descubre cómo los infostealers StealC y Amadey roban credenciales y cómo defenderte. Análisis técnico y recomendaciones de seguridad.

24 jun 2026 • 4 min de lectura • Equipo Q2BSTUDIO

Infostealers: Amenazas persistentes y cómo mitigarlas

En el ecosistema actual de amenazas digitales, los infostealers se han consolidado como uno de los vectores de ataque más persistentes y peligrosos. Estos programas maliciosos, diseñados para robar credenciales, cookies y tokens de sesión, operan silenciosamente en dispositivos desprotegidos y pueden convertirse en la puerta de entrada a redes corporativas enteras. Casos como los de StealC y Amadey ilustran la sofisticación de un mercado criminal donde el malware se alquila como servicio, permitiendo que actores con pocos conocimientos técnicos lancen campañas de robo de información a gran escala. Entender su funcionamiento y las estrategias de defensa es clave para cualquier organización que busque proteger su infraestructura crítica.

StealC, un infostealer escrito en C++, se distribuye bajo un modelo de malware como servicio (MaaS). Los atacantes alquilan acceso a un panel web para generar muestras personalizadas y gestionar los datos robados. Una vez ejecutado, el malware recopila información del sistema, credenciales de navegadores basados en Chromium y Firefox, datos de monederos de criptomonedas, aplicaciones de mensajería y clientes de correo como Outlook o Foxmail. Además, puede capturar capturas de pantalla y actuar como cargador secundario para descargar más payloads. Para eludir la protección de cifrado de Chromium, StealC inyecta código en un proceso suspendido mediante APC y extrae las contraseñas desencriptadas. Los datos exfiltrados se envían a servidores C2 mediante peticiones HTTP cifradas con RC4 y codificadas en Base64. El malware también verifica el idioma del sistema y se autodesactiva si coincide con ruso, ucraniano, bielorruso, kazajo o uzbeko, una táctica común para evitar el escrutinio de ciertos grupos.

Por su parte, Amadey es un loader modular que desde 2018 ha servido como vehículo de distribución para infostealers como StealC, Lumma Stealer, troyanos de acceso remoto y ransomware. Este backdoor escrito en C++ se comunica con su C2 sobre HTTP y admite múltiples comandos: descarga y ejecución de EXE, DLL, scripts PowerShell, instalación MSI, captura de pantalla, robo de credenciales mediante plugins, habilitación de escritorio remoto, creación de cuentas ocultas de administrador y proxy SOCKS. Amadey establece persistencia mediante tareas programadas y copia su ejecutable en directorios específicos. En campañas recientes, se ha observado su uso para descargar StealC desde instancias comprometidas de GitLab autogestionadas, aprovechando dominios legítimos con certificados TLS válidos para evadir defensas tradicionales. La combinación de ambos malware representa una amenaza en cadena: la infección inicial con Amadey permite desplegar StealC, y las credenciales robadas se venden en mercados oscuros o foros de Telegram, a menudo en cuestión de horas, por precios que oscilan entre 2 y 100 dólares por lote.

La monetización de estos datos sigue un flujo bien organizado. Los logs de infostealers caen en manos de corredores de acceso inicial, quienes los validan y los revenden a grupos de ransomware. Un solo par de credenciales corporativas, especialmente si incluye tokens de sesión que eluden la autenticación multifactor, puede desencadenar una intrusión completa. Los ataques no siempre son inmediatos: algunas credenciales permanecen inactivas durante meses antes de ser utilizadas. Lo alarmante es que la infección inicial suele ocurrir en dispositivos personales de empleados, fuera del perímetro gestionado de la empresa, lo que dificulta su detección hasta que el atacante ya ha actuado (por ejemplo, desplegando ransomware o exfiltrando grandes volúmenes de datos).

Defenderse de amenazas como StealC y Amadey requiere un enfoque multicapa. Las organizaciones deben implementar protección contra ransomware, habilitar la detección basada en la nube en los antivirus, fomentar el uso de navegadores con sistemas antiphishing como Microsoft Defender SmartScreen, y activar la protección contra manipulaciones (tamper protection) para evitar que los atacantes desactiven las defensas. Las reglas de reducción de superficie de ataque, como las que ofrece Microsoft Defender, pueden bloquear vectores de infección comunes. Además, la higiene de credenciales y la monitorización continua de identidades son fundamentales, ya que los atacantes suelen utilizar credenciales legítimas que no levantan sospechas. Un plan de respuesta rápida, apoyado en herramientas de inteligencia artificial para el análisis de incidentes, puede marcar la diferencia entre una intrusión controlada y un daño catastrófico.

En este contexto, contar con un socio tecnológico que ofrezca soluciones robustas de ciberseguridad es vital. Q2BSTUDIO, como empresa de desarrollo de software y tecnología, ayuda a las organizaciones a fortalecer su postura de seguridad mediante el diseño de ia para empresas y agentes IA capaces de detectar anomalías en tiempo real, así como la implementación de software a medida que integra controles de acceso avanzados. Nuestros servicios en servicios cloud aws y azure permiten desplegar arquitecturas seguras y escalables, mientras que las soluciones de servicios inteligencia de negocio con Power BI facilitan la visualización de patrones de amenazas. La automatización de procesos y el desarrollo de aplicaciones a medida son pilares para construir entornos resilientes frente a ataques basados en infostealers. En un panorama donde el robo de credenciales es solo el primer paso de intrusiones más graves, la inversión en tecnología de defensa proactiva ya no es opcional, sino una necesidad estratégica.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.