Se ha lanzado un nuevo sistema de infostealer de malware como servicio llamado SantaStealer que se está poniendo a la venta en Telegram y en foros clandestinos de ciberdelitos. Investigadores de seguridad han identificado la herramienta como un sucesor renombrado de un proyecto anterior conocido como BluelineStealer. Los desarrolladores están promocionando el malware entre los ciberdelincuentes antes de finales de 2025, ofreciendo acceso por suscripción y licencias de por vida.
SantaStealer está diseñado para funcionar en sistemas Windows desde la versión 7 hasta la 11 y funcionar principalmente en memoria para evadir la detección tradicional basada en archivos por parte de antivirus y herramientas de protección de endpoints. Sus desarrolladores anuncian que la herramienta es capaz de recopilar una amplia gama de información sensible exfiltrando datos robados hacia servidores de mando y control. Investigadores y analistas afirmaron que este tipo de amenaza refleja la evolución del ecosistema de malware hacia un modelo comercial que reduce las barreras de entrada para los atacantes.
Rapid7 Labs , una organización de investigación en ciberseguridad, dijo que los operadores de malware inicialmente observaron que el proyecto aún estaba en desarrollo, pero que recientemente fue declarado listo para producción y lanzado oficialmente. Los operadores utilizan canales de Telegram y foros clandestinos en ruso para atraer afiliados y compradores interesados en utilizar la herramienta para sus propias operaciones. El uso de estas plataformas de mensajería para la distribución continúa una tendencia en la que los actores malintencionados aprovechan aplicaciones sociales fácilmente accesibles para promover y vender herramientas ilícitas.
La oferta SantaStealer incluye múltiples niveles de precios que se asemejan a modelos legítimos de suscripción de software. El acceso básico se anuncia por unos 175 USD al mes, con una suscripción premium de unos 300 USD al mes, y una licencia vitalicia disponible por aproximadamente 1.000 USD. Estos precios incluyen acceso a un panel web que permite a los clientes configurar el comportamiento del malware y gestionar la recopilación de datos robados.
Los investigadores señalaron que las características de SantaStealer permiten la recopilación modular de datos, con componentes separados dirigidos a credenciales de navegador, documentos y monederos de criptomonedas. Además de recopilar contraseñas y cookies de navegadores populares, el malware puede recopilar datos de aplicaciones de mensajería, plataformas de juegos y otra información almacenada localmente en máquinas infectadas. Los archivos recopilados se comprimen y envían a servidores remotos en fragmentos para facilitar la exfiltración.
Aunque los operadores afirman capacidades avanzadas de evasión y antianálisis, las primeras muestras analizadas por Rapid7 contenían cadenas sin cifrar y símbolos de exportación que facilitan su análisis para los defensores. Los especialistas en seguridad afirmaron que esto sugiere que, a pesar de las audaces afirmaciones de marketing, el malware puede que aún no tenga características de sigilo sofisticadas que son típicas de amenazas más maduras.
El desarrollo de SantaStealer pone de manifiesto un cambio más amplio en el cibercrimen hacia servicios profesionales de malware que combinan herramientas tradicionales de hackeo con modelos comerciales de distribución y precios. Los infostealers distribuidos bajo un modelo de malware como servicio permiten a atacantes menos experimentados comprar herramientas listas en lugar de desarrollar las suyas propias, aumentando el volumen de posibles ataques.
Los asesores de ciberseguridad recomiendan que las organizaciones e individuos tengan cautela con el código no verificado y eviten ejecutar software procedente de fuentes no fiables. Los usuarios deben examinar con escrutación los enlaces y archivos adjuntos en los correos electrónicos, evitar descargar aplicaciones no autorizadas y mantener protecciones de seguridad actualizadas para reducir el riesgo de que se comprometan amenazas como SantaStealer.