S2GRUPO ha publicado un nuevo informe técnico sobre MetaStealer, uno de los malwares más activos y sofisticados del año. Dirigido contra sectores estratégicos europeos como energía, transporte, servicios financieros y administraciones públicas, este malware representa un nuevo modelo de amenaza: evasiva, automatizada y diseñada para la persistencia prolongada en sistemas comprometidos.

El informe, correspondiente al segundo trimestre de 2025 analiza más de 60 variantes activas y documenta en profundidad su ciclo de vida, vectores de entrada, infraestructura de mando y control (C2) y técnicas de evasión más relevantes.

MetaStealer no actúa con inmediatez, sino que construye su infraestructura de forma progresiva. Utiliza algoritmos DGA (Domain Generation Algorithm) para generar dominios de forma dinámica, lo que dificulta su detección por métodos tradicionales. Además, emplea artefactos legítimos como archivos LNK y MSI Wrapper, así como técnicas avanzadas de inyección en memoria, para operar de forma sigilosa.

“Este tipo de amenazas no se activa con un ataque visible. Se inserta en la red, establece su canal de mando y permanece latente. Detectar ese comportamiento antes de que se manifieste es lo que marca la diferencia”, señala el equipo técnico de LAB52, unidad especializada en ciberinteligencia de S2GRUPO.

Inteligencia aplicada al ciclo completo de la amenaza

Fruto de este análisis, S2GRUPO ha desarrollado nuevas capacidades técnicas para anticiparse al ciclo de vida de MetaStealer, incluyendo:

• Extractor de semillas DGA: permite prever los dominios que generará el malware antes de que estén activos, facilitando el bloqueo preventivo
• Reglas YARA y SIGMA específicas, ya integradas en entornos de clientes estratégicos
• Correlaciones avanzadas basadas en patrones de persistencia, estructuras de inyección en memoria y modificaciones de cabeceras PE
• Monitorización continua de IoCs, con actualización dinámica en función de nuevas muestras capturadas durante 2025

“La capacidad de extraer las semillas DGA desde las muestras nos permite desactivar la infraestructura del atacante antes de que se conecte. Es una estrategia de defensa anticipada, no reactiva”, añaden desde LAB52.

Principales hallazgos del informe técnico (Q2 2025)

El informe identifica tres líneas evolutivas clave en la campaña:

• Dropper avanzado: uso de archivos LNK que despliegan instaladores MSI con malware embebido, aprovechando herramientas legítimas como PowerShell y Curl
• C2 resiliente: el malware emplea un DGA que genera dominios en .xyz a partir de semillas como 0x1070, 0x1616 y 0x2188, facilitando la persistencia frente a bloqueos tradicionales
• Técnicas de evasión: inyección en memoria por reflexión, uso de MSI Wrapper para empaquetar ejecutables maliciosos, y suplantación de aplicaciones legítimas como Chrome o Edge

De la detección predictiva a la inteligencia operativa: una nueva estrategia de defensa

MetaStealer confirma que las amenazas actuales no se limitan a técnicas de acceso inicial, sino que evolucionan hacia modelos de operación sostenida, automatizada y evasiva. Ante este nuevo escenario, S2GRUPO impulsa una estrategia de defensa estructural basada en inteligencia técnica soberana, con aplicación directa y medible.

S2GRUPO transforma su investigación avanzada en capacidades concretas para sus clientes:

• Reglas de detección accionables, adaptadas a cada entorno (IT, OT, híbrido)
• Bloqueo proactivo de dominios y comunicaciones C2 mediante extracción de semillas DGA
• Alertas tempranas contextualizadas, alineadas con el sector, la tecnología y la geografía de cada cliente
• Soporte técnico directo a equipos SOC, CSIRT y Red Team para la interpretación táctica y la respuesta operativa

Este enfoque permite anticiparse al ciclo de vida del malware, no solo detectarlo. Es la diferencia entre reaccionar y liderar en un entorno digital de amenazas persistentes y en continua mutación.

Soberanía tecnológica como ventaja estratégica

El desarrollo de capacidades como las presentadas frente a MetaStealer es fruto del trabajo técnico sostenido del equipo de LAB52, realizado íntegramente en Europa y alineado con la visión de soberanía tecnológica que impulsa S2GRUPO: una defensa real exige control total sobre los medios, el conocimiento y la inteligencia operativa.

“Frente a una amenaza que no se manifiesta de forma inmediata, sino que se construye desde la persistencia y el sigilo, la anticipación se convierte en una función crítica. La capacidad de entender el comportamiento de estos ataques, más allá del incidente puntual, es lo que permite proteger lo esencial. Ese es el papel que debe asumir una empresa especializada en sectores estratégicos”, concluye Rafael Rosell, Chief Revenue Officer en S2GRUPO.