Estafas, información sobre amenazas

Las descargas falsas de 7-Zip están convirtiendo los ordenadores domésticos en nodos proxy.

por Stefan Dasic | 9 de febrero de 2026
Caballo de Troya

Una réplica convincente del popular sitio web del archivador 7-Zip ha estado distribuyendo un instalador troyanizado que convierte silenciosamente los equipos de las víctimas en nodos proxy residenciales, y ha permanecido oculto a plena vista durante algún tiempo.

«Tengo tantas náuseas»

Un ensamblador de PC acudió recientemente a la comunidad r/pcmasterrace de Reddit presa del pánico tras darse cuenta de que había descargado 7‑Zip desde un sitio web equivocado. Siguiendo un YouTube para un nuevo ensamblaje, se le indicó que descargara 7‑Zip desde 7zip[.]com, sin saber que el proyecto legítimo se aloja exclusivamente en 7-zip.org.

En su publicación en Reddit, el usuario describió cómo instaló primero el archivo en un ordenador portátil y luego lo transfirió a través de USB a un ordenador de sobremesa recién montado. Se encontró con repetidos errores de 32 bits frente a 64 bits y, finalmente, abandonó el instalador en favor de las herramientas de extracción integradas Windows. Casi dos semanas después, Microsoft Defender alertó al sistema con una detección genérica: Trojan:Win32/Malgent!MSR.

La experiencia ilustra cómo una confusión aparentemente menor en el dominio puede dar lugar a un uso prolongado y no autorizado de un sistema cuando los atacantes logran hacerse pasar por distribuidores de software de confianza.

Un instalador troyanizado que se hace pasar por software legítimo.

No se trata de un simple caso de descarga maliciosa alojada en un sitio aleatorio. Los operadores detrás de 7zip[.]com distribuyeron un instalador troyanizado a través de un dominio similar, entregando una copia funcional del administrador de archivos 7-Zip junto con una carga maliciosa oculta.

El instalador está firmado con Authenticode utilizando un certificado ahora revocado emitido a Jozeal Network Technology Co., Limited, lo que le confiere una legitimidad superficial. Durante la instalación, una versión modificada de 7zfm.exe se implementa y funciona según lo previsto, lo que reduce las sospechas de los usuarios. Paralelamente, se eliminan silenciosamente tres componentes adicionales:

  • Uphero.exe: un administrador de servicios y cargador de actualizaciones.
  • hero.exe: la carga útil principal del proxy (compilada en Go).
  • hero.dll: una biblioteca de apoyo

Todos los componentes se escriben en C:\Windows\SysWOW64\hero\, un directorio privilegiado que es poco probable que se inspeccione manualmente.

También se observó un canal de actualización independiente en update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, lo que indica que la carga útil del malware se puede actualizar independientemente del propio instalador.

Abuso de canales de distribución de confianza

Uno de los aspectos más preocupantes de esta campaña es su dependencia de la confianza de terceros. El caso de Reddit destaca YouTube como un vector de distribución de malware involuntario, en el que los creadores hacen referencia incorrectamente a 7zip.com en lugar del dominio legítimo.

Esto demuestra cómo los atacantes pueden aprovechar pequeños errores en ecosistemas de contenido que, por lo demás, son benignos para canalizar a las víctimas hacia infraestructuras maliciosas a gran escala.

Flujo de ejecución: del instalador al servicio proxy persistente

El análisis del comportamiento muestra una cadena de infección rápida y metódica:

1. Implementación de archivos: la carga útil se instala en SysWOW64, lo que requiere privilegios elevados y señala la intención de una integración profunda en el sistema.

2. Persistencia a través de Windows—Ambos Uphero.exe y hero.exe están registrados como Windows de inicio automático que se ejecutan con privilegios del sistema, lo que garantiza su ejecución en cada arranque.

3. Manipulación de reglas de firewall—El malware invoca netsh eliminar las reglas existentes y crear nuevas reglas de permiso de entrada y salida para sus binarios. El objetivo es reducir las interferencias con el tráfico de red y permitir actualizaciones fluidas de la carga útil.

4. Perfilado del host: mediante WMI y Windows nativas Windows , el malware enumera las características del sistema, incluidos los identificadores de hardware, el tamaño de la memoria, el número de CPU, los atributos del disco y la configuración de red. El malware se comunica con iplogger[.]org a través de un punto final de informe dedicado, lo que sugiere que recopila y envía metadatos del dispositivo o la red como parte de su infraestructura de proxy.

Objetivo funcional: monetización de proxies residenciales.

Aunque los indicadores iniciales sugerían capacidades de tipo «backdoor», un análisis más detallado reveló que la función principal del malware es la de proxyware. El host infectado se inscribe como un nodo proxy residencial, lo que permite a terceros enrutar el tráfico a través de la dirección IP de la víctima.

En hero.exe El componente recupera datos de configuración de dominios de comando y control rotativos con temática «smshero» y, a continuación, establece conexiones proxy salientes en puertos no estándar, como 1000 y 1002. El análisis del tráfico muestra un protocolo ligero codificado con XOR (clave 0x70) utilizado para ocultar mensajes de control.

Esta infraestructura es similar a los servicios proxy residenciales conocidos, en los que se vende el acceso a direcciones IP reales de consumidores con fines fraudulentos, de scraping, abuso publicitario o lavado de anonimato.

Herramientas compartidas entre múltiples instaladores falsos

La suplantación de identidad de 7‑Zip parece formar parte de una operación más amplia. Se han identificado binarios relacionados con nombres como upHola.exe, upTiktok, upWhatsapp y upWire, todos ellos con tácticas, técnicas y procedimientos idénticos:

  • Implementación en SysWOW64
  • Persistencia Windows
  • Manipulación de reglas de firewall a través de netsh
  • Tráfico C2 HTTPS cifrado

Las cadenas incrustadas que hacen referencia a marcas VPN proxy sugieren un backend unificado que admite múltiples frentes de distribución.

Infraestructura rotativa y transporte cifrado

El análisis de la memoria reveló un gran conjunto de dominios de comando y control codificados de forma rígida que utilizan hero y smshero Convenciones de nomenclatura. La resolución activa durante la ejecución del entorno de pruebas mostró que el tráfico se enrutaba a través de la infraestructura de Cloudflare con sesiones HTTPS cifradas con TLS.

El malware también utiliza DNS sobre HTTPS a través del resolutor de Google, lo que reduce la visibilidad para la supervisión tradicional del DNS y complica la detección basada en la red.

Funciones de evasión y anti-análisis

El malware incorpora múltiples capas de evasión de análisis y sandbox:

  • Detección de máquinas virtuales dirigidas a VMware, VirtualBox, QEMU y Parallels.
  • Comprobaciones anti-depuración y carga sospechosa de DLL del depurador
  • Resolución de API en tiempo de ejecución e inspección de PEB
  • Enumeración de procesos, sondeo del registro e inspección del entorno.

El soporte criptográfico es amplio e incluye AES, RC4, Camellia, Chaskey, codificación XOR y Base64, lo que sugiere un manejo de la configuración cifrada y protección del tráfico.

Orientación defensiva

Cualquier sistema que haya ejecutado instaladores de 7zip.com debe considerarse comprometido. Aunque este malware establece persistencia a nivel del SISTEMA y modifica las reglas del cortafuegos, el software de seguridad de buena reputación puede detectar y eliminar eficazmente los componentes maliciosos. Malwarebytes capaz de erradicar por completo las variantes conocidas de esta amenaza y revertir sus mecanismos de persistencia. En sistemas de alto riesgo o muy utilizados, algunos usuarios pueden optar por reinstalar completamente el sistema operativo para garantizar una seguridad absoluta, pero no es estrictamente necesario en todos los casos.

Los usuarios y defensores deben:

  • Verifique las fuentes de software y marque los dominios oficiales del proyecto.
  • Trate con escepticismo las identidades de firma de código inesperadas.
  • Supervisar Windows no autorizados y los cambios en las reglas del cortafuegos.
  • Bloquee los dominios C2 conocidos y los puntos finales proxy en el perímetro de la red.

Atribución de investigadores y análisis de la comunidad

Esta investigación no habría sido posible sin el trabajo de investigadores de seguridad independientes que profundizaron más allá de los indicadores superficiales e identificaron el verdadero propósito de esta familia de malware.

  • Luke Acha proporcionó el primer análisis exhaustivo que demostraba que el malware Uphero/hero funciona como un proxyware residencial en lugar de como una puerta trasera tradicional. Su trabajo documentaba el protocolo proxy, los patrones de tráfico y el modelo de monetización, y relacionaba esta campaña con una operación más amplia a la que denominó upStage Proxy. El artículo completo de Luke está disponible en su blog.
  • s1dhy amplió este análisis invirtiendo y descodificando el protocolo de comunicación personalizado basado en XOR, validando el comportamiento del proxy mediante capturas de paquetes y correlacionando múltiples puntos finales del proxy en las ubicaciones geográficas de las víctimas. Las notas técnicas y los hallazgos se compartieron públicamente en X Twitter).
  • Andrew Danis contribuyó con análisis adicionales de infraestructura y agrupación, lo que ayudó a vincular el instalador falso de 7-Zip con campañas de proxyware relacionadas que abusaban de otras marcas de software.

Los investigadores de RaichuLab publicaron una validación técnica adicional y un análisis dinámico en Qiita y WizSafe Security en IIJ.

Su trabajo colectivo destaca la importancia de la investigación abierta e impulsada por la comunidad para descubrir campañas de abuso de larga duración que se basan en la confianza y la desinformación, más que en vulnerabilidades.

Reflexiones finales

Esta campaña demuestra cómo la suplantación de identidad de marcas, combinada con malware técnicamente competente, puede operar sin ser detectada durante largos periodos de tiempo. Al abusar de la confianza de los usuarios en lugar de explotar las vulnerabilidades del software, los atacantes eluden muchas de las medidas de seguridad tradicionales, convirtiendo las descargas de utilidades cotidianas en una infraestructura de monetización de larga duración.

Malwarebytes y bloquea las variantes conocidas de esta familia de proxyware y su infraestructura asociada.

Indicadores de compromiso (IOC)

Rutas de archivo

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Hashes de archivo (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Indicadores de red

Dominios:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

IP observadas (con Cloudflare):

  • 104.21.57.71
  • 172.67.160.241

Indicadores basados en el host

  • Windows con rutas de imagen que apuntan a C:\Windows\SysWOW64\hero\
  • Reglas de firewall denominadas Uphero o hero (entrantes y salientes)
  • Mutex: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

AI
Una mano se inclina para coger un asterisco de una contraseña escrita.

Las contraseñas generadas por IA suponen un riesgo para la seguridad.

Febrero 19, 2026

Las contraseñas generadas por IA son «muy predecibles» y no son verdaderamente aleatorias, lo que facilita su descifrado por parte de los ciberdelincuentes.

Noticias
Logotipo de Tenga

El fabricante de productos íntimos Tenga filtró datos de clientes.

Febrero 19, 2026

Un ataque de phishing contra un empleado de Tenga podría haber expuesto los datos de clientes estadounidenses. Los clientes deben estar atentos a los intentos de phishing relacionados con la sextorsión.

Filtraciones de datos
Logotipo de Betterment

La filtración de datos de Betterment podría ser peor de lo que pensábamos.

Febrero 18, 2026

Esta filtración parece ahora mucho más grave. Los datos filtrados incluyen información personal y financiera detallada que los phishers podrían utilizar.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas