Esta semana, alguien buscó la nueva herramienta de programación Antigravity de Google, hizo clic en «Descargar», ejecutó el instalador y obtuvo exactamente lo que esperaba. Antigravity se instaló sin problemas. Apareció un acceso directo en el escritorio. La aplicación se abrió y funcionó. Todo parecía estar en orden.
Pero, entre bastidores, ese instalador puede entregar tus cuentas, tus datos e incluso tu ordenador a un atacante, sin que el usuario note nada.
En este artículo, analizaremos los detalles técnicos de la campaña, cómo funciona en realidad y qué hacer si crees que la has instalado.
La descarga que realmente te dio lo que buscabas
Google Antigravity se lanzó en noviembre de 2025 y, desde entonces, ha sido una de las herramientas para desarrolladores más buscadas en Internet. El producto real se encuentra en antigravity.google. Casi nadie que no conozca el producto se sabe de memoria la URL real, por lo que cuando un usuario llegaba a una URL similar con un guion (lo que llamamos un dominio «typosquat») en google-antigravity[.]com A simple vista, resultaba bastante convincente.
Así que procedieron a descargar el archivo, llamado Antigravity_v1.22.2.0.exe.
El instalador no se llama así solo para parecerse al auténtico de Google. Ocupa 138 MB: lo suficiente como para contener toda la aplicación Antigravity, su entorno de ejecución Electron, sus bibliotecas gráficas Vulkan, su programa de actualización... todo. Porque eso es precisamente lo que contiene.
El atacante no creó una falsificación convincente; tomó el instalador auténtico de Antigravity, añadió un paso adicional para ejecutar su script de PowerShell durante la instalación y volvió a empaquetar el resultado. El paso malicioso consiste en una línea adicional dentro de una secuencia que ejecuta docenas de pasos legítimos. Así era el instalador:
¿Cómo sabemos que es una sola línea? Porque se ve.
La tabla de acciones personalizadas de MSI (la lista de todos los pasos que realiza el instalador durante la instalación) contiene 11 filas que son entradas estándar y repetitivas que la herramienta de instalación genera automáticamente: extraer archivos, comprobar la Windows , obtener privilegios de administrador, escribir un registro y limpiar al finalizar. Cada una de ellas tiene un nombre que comienza por AI_ seguido de una descripción de su función. Y luego, al final de la misma lista, hay una fila más, llamada wefasgsdfg — una secuencia de teclas que el atacante tecleó cuando la herramienta de instalación le pidió que introdujera un nombre, y que es la que ejecuta su script de PowerShell.
Antigravity se instala correctamente en C:\Program Files (x86)\Google LLC\Antigravity\. Aparece una entrada en el menú de inicio, se crea un acceso directo en el escritorio y todo funciona. El usuario abre la aplicación, la prueba, la cierra y sigue con su día. Todo parece ir bien, porque, de hecho, ha instalado lo que quería instalar. La parte maliciosa se ejecuta en silencio, en una carpeta que nunca abrirá.
Dos pequeños guiones y una llamada telefónica
En algún momento durante la instalación, el archivo MSI ejecuta un pequeño script auxiliar que coloca dos archivos de PowerShell en la carpeta temporal del usuario: scr5020.ps1 y pss5032.ps1. Los nombres de los archivos parecen específicos, pero no lo son: los cuatro caracteres que siguen a cada prefijo se generan de forma aleatoria cada vez que se ejecuta el instalador.
Lo que se mantiene constante es el prefijo: scr para el script de usuario, pss para el envoltorio de PowerShell, ya que siguen el patrón de nomenclatura estándar de la herramienta de instalación para los scripts de acciones personalizadas.
De los dos archivos, el segundo es una utilidad Advanced sin modificar. Es totalmente inofensiva y está presente en muchos productos auténticos. El primero lo añadió el atacante y tiene una única función: abrir una conexión HTTPS a https://opus-dsn[.]com/login/, descarga cualquier código que le envíe el servidor y lo ejecuta. Para pasar desapercibido, falsifica un encabezado de referencia de Microsoft y se conecta a través del proxy web predeterminado del sistema, de modo que hereda la configuración y la autenticación del proxy corporativo que haya establecido el departamento de TI, sin que el usuario se dé cuenta. Además, guarda y restaura la configuración TLS del proceso principal de PowerShell, dejando esa variable global sin cambios tras su salida. Ese es todo el script.
Los investigadores denominan a este patrón «downloader cradle», y su ventaja para el atacante es la flexibilidad. La carga útil real se encuentra en su servidor, no dentro del instalador que circula por la red, por lo que pueden sustituirla, cambiar los objetivos o detener la operación sin tocar el archivo que descargan los usuarios.
En este caso, el cradle hizo exactamente lo que estaba diseñado para hacer y nada más: una consulta DNS para opus-dsn[.]com, una única conexión TCP en el puerto 443 a 89[.]124[.]96[.]27 mediante una solicitud GET silenciosa por HTTPS a /login/, y a continuación el proceso de PowerShell se cerró.
No ocurrió nada más. No se descargó ningún script de segunda fase. No se creó ningún archivo. No se creó ninguna tarea programada. No se realizaron cambios en Windows . La mayoría de las herramientas de seguridad automatizadas se encogerían de hombros y seguirían adelante.
Pero el malware no había fallado. Se había presentado ante el servidor del atacante y había solicitado el código que debía ejecutarse a continuación; y el hecho de que la respuesta sea afirmativa o no es una decisión que el operador tomará más tarde, cuando le convenga, víctima por víctima. Desde el punto de vista de la víctima, no es posible saber qué respuesta se ha devuelto. Para el análisis, hemos recuperado lo que envía el servidor cuando la respuesta es afirmativa.
¿Qué ocurre cuando la respuesta es «sí»?
Cuando el servidor decide que vale la pena atacar un objetivo, el script de seguimiento lleva a cabo su tarea en tres fases.
En primer lugar, hace que Defender haga la vista gorda. Llama a Add-MpPreference (con el cmdlet nombre separado por una comilla invertida, un pequeño truco para eludir los sistemas de detección de coincidencias de cadenas poco sofisticados) para excluir %ProgramData% y %APPDATA% excluir del escaneo .exe, .msi, y .dll excluir archivos del análisis y excluir PowerShell, regasm.exe, rundll32.exe, msedge.exe, y chrome.exe tras el análisis. Solo entonces se conecta al servidor central: recopila un perfil del equipo (Windows , dominio de Active Directory, producto antivirus instalado), lo cifra mediante RSA con una clave pública integrada en el script y lo envía a opus-dsn[.]com dentro de un utm_content un parámetro de consulta que, en cualquier registro de acceso, parece un seguimiento de marketing habitual. Este es el perfil que utiliza el operador para decidir si merece la pena pasar a la siguiente fase con ese equipo en concreto.
En segundo lugar, aumenta la brecha. Un segundo Add-MpPreference El bloque amplía la lista de exclusiones para incluir el .png extensión de archivo y el conhost.exe proceso: las dos adiciones exactas que necesitará la siguiente etapa. A continuación, escribe AmsiEnable=0 en HKLM\Software\Policies\Microsoft\Windows Script\Settings, desactivando la interfaz de análisis antimalware Windows—la capa que normalmente permite a Defender leer los scripts antes de que se ejecuten—. A partir de ese momento, la actividad maliciosa se lleva a cabo en carpetas, con tipos de archivo y a través de procesos que Defender ha recibido instrucciones de ignorar.
En tercer lugar, se instala de forma persistente. Descarga un archivo llamado secret.png de https://captr.b-cdn[.]net/secret.png (una URL de BunnyCDN que, a simple vista, parece cualquier otro enlace de distribución de contenidos) y la guarda en C:\ProgramData\MicrosoftEdgeUpdate.png, una ruta elegida para situarse junto a las carpetas reales de actualización del navegador de Microsoft. El archivo no es una imagen. Se trata de un texto cifrado con AES-256-CBC (la clave y el IV se derivan mediante PBKDF2 con 10 000 iteraciones a partir de una frase de contraseña predefinida) que contiene un ensamblado .NET. A continuación, se registra una tarea programada con el nombre MicrosoftEdgeUpdateTaskMachineCore{JBNEN-NQVNZJ-KJAN323-111}, que a simple vista es prácticamente indistinguible de la auténtica tarea Edge de Microsoft Edge y está configurada para ejecutarse cada vez que se inicia sesión, ejecutándose sin privilegios, por lo que nunca muestra un mensaje de UAC. La acción que ejecuta es conhost.exe --headless ejecutando un PowerShell oculto, que descifra el archivo PNG falso en memoria y carga de forma refleja el ensamblado .NET resultante en su propio espacio de direcciones. Nada se guarda en el disco como un ejecutable normal. Lo único que permanece es la imagen cifrada, en una carpeta que se le ha indicado a Defender que ignore.
Y luego una segunda carga útil, que no persiste en absoluto. El script no se detiene ahí. Tras registrar e iniciar la tarea programada, envía una segunda señal para confirmar la instalación y, a continuación, ejecuta un bloque totalmente independiente que descarga un segundo archivo cifrado (GGn.xml) del mismo servidor de BunnyCDN, lo descifra con una clave AES diferente y predefinida, y carga ese ensamblado de forma refleja también en el proceso de PowerShell en ejecución. La primera carga útil sobrevive a los reinicios; esta se ejecuta una sola vez, en memoria, y desaparece. Dos ensamblados .NET, una campaña, en el equipo de la víctima.
Para qué está diseñada la carga útil
El código ensamblado descifrado es un programa de robo de datos para .NET. Podemos identificarlo por los nombres de sus propias clases y métodos, que describen su función en un lenguaje sencillo: analiza navegadores, aplicaciones de mensajería, plataformas de videojuegos, clientes FTP y carteras de criptomonedas, recopilando datos etiquetados como Logins, Cookies, Autofills, y FtpConnections.
En la práctica, esto significa que todos los navegadores basados en Chromium y Firefox instalados en el equipo (Chrome, Edge, Brave y otros) pierden las contraseñas guardadas, los datos de autocompletar (incluidas las tarjetas de crédito guardadas) y las cookies que mantienen a los usuarios conectados. También se eliminan los tokens de Discord, las sesiones de Telegram, los datos de inicio de sesión de Steam, las credenciales FTP y los archivos de carteras de criptomonedas.
(La mayoría de las rutas exactas de destino están ofuscadas y solo se descifran en tiempo de ejecución, por lo que las aplicaciones concretas no son todas visibles mediante un análisis estático, pero las categorías de robo quedan claras a partir de los nombres de las clases.)
Las cookies de sesión son las que más deberían preocupar a la gente, ya que actúan con mayor rapidez que cualquier otra cosa. Una cookie de inicio de sesión robada permite a un atacante acceder directamente a una bandeja de entrada de Gmail o a un portal bancario sin necesidad de una contraseña ni de activar la autenticación de dos factores. Para el sitio web, el usuario ya ha iniciado sesión. El lapso de tiempo entre la infección y la apropiación de la cuenta puede ser de tan solo unos minutos.
Además del robo de datos, el malware también importa Windows que se utilizan para secuestrar el portapapeles y registrar las pulsaciones del teclado, herramientas que pueden capturar lo que escribes o cambiar la dirección de una cartera de criptomonedas en el momento exacto en que envías fondos.
También incluye los elementos básicos de la técnica del «escritorio oculto»: la creación de un segundo Windows invisible que el atacante puede capturar y, potencialmente, controlar. En su forma más avanzada, esto permite al atacante actuar dentro de ese entorno oculto —iniciar sesión en cuentas, autorizar transacciones o enviar mensajes— mientras que la pantalla real de la víctima no muestra nada inusual. Durante el tiempo que dura la infección, el atacante es, en la práctica, una segunda presencia en el ordenador.
Una nueva herramienta, un nuevo clon, la misma trampa
La razón por la que esta campaña es importante más allá del instalador concreto es que su estructura no es nueva. Se trata de una versión perfeccionada de un patrón que llevamos observando desde hace meses: los nuevos productos de IA se lanzan con gran expectación y, en cuestión de semanas, aparecen junto a ellos dominios similares e instaladores infectados con troyanos. Antigravity es el último ejemplo, pero no será el último.
El aliciente para los atacantes es evidente. Cada lanzamiento de una IA de gran repercusión genera una avalancha de usuarios que quieren probarla de inmediato, antes de haber tenido tiempo de memorizar la URL real o de contrastarla con fuentes fiables.
¿Has cogido algo que no debías?
Lo que hace que este tipo de campaña sea difícil de detectar es que la mayoría de las víctimas nunca llegan a saber que han sido objeto de un ataque. Aquellos que se han librado, porque el operador decidió no seguir adelante con el ataque en su equipo, no tienen motivos para sospechar que haya pasado nada.
Los que no lograron escapar suelen darse cuenta más tarde: un restablecimiento de contraseña que no solicitaron, un amigo que les pregunta por un mensaje extraño o un saldo bancario que de repente parece incorrecto. Para entonces, la decisión de atacarlos ya se había tomado días antes.
Qué hacer si usted puede haber sido afectado
Si tú o cualquier persona que comparta tu ordenador ha instalado recientemente un programa llamado «Google Antigravity» desde cualquier sitio que no sea antigravity.google, empieza por comprobar los indicadores de red. Revisa los registros del cortafuegos, las alertas del EDR o los registros de tu router en busca de conexiones a opus-dsn[.]com, captr.b-cdn[.]neto 89[.]124[.]96[.]27. Basta con una sola conexión desde un proceso de PowerShell para confirmar que se ha realizado el check-in.
- Desde otro dispositivo limpio, cierra sesión en todas las cuentas importantes: Google, Microsoft 365, cualquier portal bancario, GitHub, Discord, Telegram, Steam y tu plataforma de intercambio de criptomonedas. La mayoría de los servicios cuentan con una opción de «cerrar sesión en todas partes» en la configuración de seguridad.
- Cambia las contraseñas de esas cuentas, empezando por tu correo electrónico. Si tu correo electrónico se ve comprometido, un atacante puede restablecer casi cualquier otra cosa.
- Renueva todas las claves API, claves SSH o credenciales de la nube que hubiera en el ordenador afectado, no solo las contraseñas asociadas a ellas.
- Si tienes carteras de criptomonedas en el ordenador, transfiere los fondos inmediatamente a un dispositivo que no esté infectado. Eso es lo primero que estos operadores aprovechan para obtener beneficios.
- Revisa tus extractos bancarios y de tarjeta de crédito para detectar cargos desconocidos, y considera la posibilidad de solicitar una alerta de fraude a tu banco.
- Borra y reinstala Windows. No se debe confiar en un equipo en el que se haya ejecutado este tipo de malware.
- Si el dispositivo es un ordenador portátil de trabajo, avisa hoy mismo a tu equipo de TI o de seguridad. La baliza recopila el dominio de Active Directory del dispositivo, por lo que, en el caso de un ordenador portátil corporativo integrado en un dominio, el atacante sabe ahora a qué red empresarial pertenece la víctima, lo que significa que no se trata solo de un problema personal.
Indicadores de compromiso (IOC)
Hashes de archivo (SHA-256)
61aca585687ec21a182342a40de3eaa12d3fc0d92577456cae0df37c3ed28e99 (Antigravity_v1.22.2.0.exe)
Indicadores de red
captr.b-cdn[.]net
google-antigravity[.]com
opus-dsn[.]com
89[.]124[.]96[.]27
«Una de las mejores suites de ciberseguridad del mundo».
Según CNET.Lee su reseña →
