La ciberseguridad moderna no se gana solo en firewalls, endpoints o centros de operaciones. También se gana, o se pierde, en el instante exacto en que un usuario confía. Esta campaña, reportada por Check Point Research y difundida por The Hacker News, no es una historia de exploits sofisticados ni de vulnerabilidades zero-day. Es algo más incómodo: una operación criminal que convierte señales sociales de confianza en armas. Estrellas en GitHub, forks, reseñas positivas, descargas infladas, videos con narradores generados por IA, comentarios en VirusTotal y publicaciones en sitios de noticias trabajan juntas para crear una ilusión: “esto parece seguro”.

El objetivo final es simple y brutal: reemplazar la dirección de una billetera cripto copiada en el portapapeles por una dirección controlada por el atacante. El usuario cree que está pegando la dirección correcta. La wallet muestra una dirección válida. La transacción parece normal. Pero el destino real ya no es el destinatario esperado. Cuando la operación se confirma en la cadena de bloques, no hay botón de deshacer.

Esa es la lección central de este caso: en cripto, el portapapeles puede ser una superficie de ataque. Y cuando el atacante controla la narrativa antes de que la víctima descargue el archivo, el malware llega con uniforme de confianza.

Durante años, la distribución de malware siguió patrones reconocibles: correos de phishing, archivos adjuntos, enlaces maliciosos, exploits en navegadores, descargas desde dominios sospechosos. El defensor aprendió a mirar indicadores: reputación del dominio, hash del archivo, firma digital, detección antivirus, comportamiento del proceso. Pero esta campaña muestra una evolución más peligrosa: el atacante no solo distribuye malware; fabrica un ecosistema completo alrededor del malware.

Check Point Research describe una operación que usa una página WordPress como centro de gravedad, repositorios de GitHub y SourceForge para alojar archivos, un canal de YouTube con narradores generados por IA para simular tutoriales confiables, cuentas falsas para inflar popularidad y actividad coordinada en VirusTotal para presentar samples como menos peligrosos de lo que son. Incluso se observaron publicaciones en sitios de noticias legítimos o promocionados que daban apariencia editorial al fraude.

La víctima no llega al archivo desde un callejón oscuro de internet. Llega desde una avenida iluminada: un video explicativo, un repositorio con estrellas, una página con reseñas, un contador de descargas alto, comentarios positivos y tal vez una mención en un medio conocido. El atacante entiende algo que muchas organizaciones todavía subestiman: la gente no evalúa riesgo de forma matemática. Evalúa riesgo por señales. Y si todas las señales dicen “popular”, el usuario baja la guardia.

La atribución pública sigue siendo desconocida. No hay aquí un nombre de APT respaldado por inteligencia gubernamental, ni una campaña geopolítica con banderas visibles. Lo que sí hay es un actor financiero, probablemente pequeño o mediano en estructura, pero disciplinado en ejecución. Su modelo es directo: atraer víctimas interesadas en criptomonedas, trading automatizado, memecoins, juegos crash y ganancias rápidas; entregarles software aparentemente útil; robar fondos mediante sustitución de direcciones.

Las fuentes consultadas mencionan señales recurrentes como el identificador de Telegram `@JoseCmanXD`, cuentas de GitHub como `Decryptor-j`, `crash-predictor1`, `roblox-script1`, `hack-scripts` y `stake-mines`, y actividad previa en foros relacionados con clippers desde 2022. Esto no convierte las señales en atribución definitiva, pero sí dibuja una continuidad operativa. El actor parece haber aprendido que el malware por sí solo no basta. Necesita marketing, reputación y soporte aparente.

La operación también revela una comprensión práctica de los sesgos humanos. El usuario que busca un “sniper bot” para comprar tokens apenas se lanzan, o un “predictor” para juegos de azar, ya está en un estado mental vulnerable: quiere velocidad, ventaja y resultado. El atacante no necesita convencerlo de que el riesgo es cero; solo necesita que el riesgo parezca menor que la oportunidad.

Un clipboard hijacker, o clipper, es una pieza de malware diseñada para vigilar el portapapeles. En esta campaña, los payloads analizados están construidos principalmente en Rust y apuntan a Windows y macOS. El funcionamiento es engañosamente simple: cuando el usuario copia una dirección de criptomoneda, el malware compara el texto contra patrones de direcciones compatibles —Bitcoin, Ethereum/EVM, Litecoin, Tron, XRP, Cardano, Monero, Dogecoin, entre otras— y, si encuentra coincidencia, reemplaza el contenido por una dirección del atacante.

En Windows, Check Point describe una estructura donde el usuario descarga un ZIP con múltiples archivos, muchos de ellos distracción. El archivo principal, por ejemplo `SniperBot_Premium(Free).exe`, actúa como loader `.NET` y ejecuta un binario alojado en `src/config/silkebin.exe`. Luego, el clipper se copia a `%APPDATA%\silke\silke.exe`, crea un acceso directo en la carpeta Startup y permanece escuchando cambios en el portapapeles. Usa APIs como `AddClipboardFormatListener`, `OpenClipboard`, `GetClipboardData`, `EmptyClipboard` y `SetClipboardData`.

En macOS, la táctica cambia de vestuario pero mantiene la misma intención. El usuario encuentra instrucciones tipo “RUN UNLOCKER IF APP IS BLOCKED”. El script `unlocker.command` le pide, directa o indirectamente, remover la cuarentena de Gatekeeper con `xattr -cr` y abrir la aplicación. En lenguaje simple: el atacante convierte una advertencia de seguridad del sistema en un trámite molesto que el usuario debe eliminar para continuar.

No hay aquí una gran batalla técnica visible. No hay exfiltración masiva de documentos, ni cifrado de archivos, ni ransom note. El robo ocurre en silencio, en el momento de pegar. Por eso es tan peligroso: puede no generar el tipo de alerta dramática que despierta a un SOC.

La parte más interesante de esta campaña no es el clipper; es la fábrica de credibilidad. Check Point Research usa el concepto de Ghost Networks para describir redes de cuentas falsas o de baja calidad que inflan señales de popularidad. En GitHub, esas cuentas generan estrellas y forks. En SourceForge, inflan descargas. En YouTube, generan vistas, comentarios y una sensación de comunidad. En VirusTotal, algunos samples reciben votos benignos y comentarios de “seguro”. En sitios de noticias, publicaciones pagadas, promocionadas o posiblemente publicadas mediante outlets comprometidos aportan legitimidad editorial.

El efecto psicológico es acumulativo. Una señal falsa puede no bastar. Pero diez señales falsas coordinadas crean una realidad alternativa. El usuario ve un repositorio con actividad, un video tutorial, comentarios positivos, un contador de descargas alto y una mención en un sitio de noticias. Su cerebro hace lo que siempre hace: atajos. “Si tanta gente lo usa, debe ser seguro.” Ese razonamiento es exactamente lo que el actor explota.

SourceForge ofreció un detalle revelador: el contador de descargas llegó a 44.485, con 37.460 supuestamente originadas en Android, aunque las versiones ofrecidas eran para Windows y macOS. Esa anomalía no es un detalle menor; es la huella de una reputación fabricada. Del mismo modo, un canal de YouTube con más de 91.000 suscriptores y narradores generados por IA puede parecer profesional, pero la profesionalidad visual no equivale a seguridad técnica.

La campaña apunta a criptousuarios, traders, apostadores en juegos crash y personas que buscan ventajas automatizadas. No es casualidad. Estos usuarios suelen operar bajo presión: oportunidades que duran minutos, tokens que suben o caen en segundos, promesas de rentabilidad inmediata. El atacante vende velocidad. Vende atajo. Vende la fantasía de que el sistema puede ser vencido con una herramienta.

El “sniper bot” para Solana o Pump.fun apela al trader que teme llegar tarde. El “predictor” de crash games apela al jugador que cree que puede encontrar un patrón en el azar. El “unlocker” apela al usuario frustrado porque el sistema operativo bloquea una app no firmada. En cada paso, el atacante convierte una emoción en acción.

La seguridad tradicional suele hablar de usuarios “descuidados”. Este caso exige más precisión. El usuario no necesariamente es descuidado; está siendo manipulado en un contexto diseñado para reducir su escepticismo. La defensa debe entender eso. No basta con decir “no descargue cosas raras”. Hay que enseñar a reconocer cuándo la confianza está siendo fabricada.

El portapapeles es una de las funciones más antiguas y cotidianas de la computación. Copiar, pegar, seguir trabajando. Por eso mismo es peligroso: nadie espera que esa acción trivial sea observada por malware. Sin embargo, los clippers llevan años existiendo. La innovación de esta campaña no está en inventar la técnica, sino en combinarla con una operación de reputación multiplataforma.

El flujo de ataque es casi poético en su crudeza:

1. La víctima busca una herramienta para ganar ventaja.

2. Encuentra señales positivas falsas.

3. Descarga un archivo.

4. Ejecuta el loader o app.

5. El malware se instala.

6. El portapapeles queda vigilado.

7. La víctima copia una dirección legítima.

8. El malware la reemplaza.

9. La víctima pega la dirección falsa.

10. La transacción se firma.

11. El dinero se pierde.

El atacante no necesita conocer a la víctima. No necesita robar su contraseña. No necesita romper la blockchain. Solo necesita que el usuario confíe en la dirección que ve en pantalla.

Defenderse de esta campaña exige abandonar la confianza ingenua en reputación superficial. Un hash puede bloquearse, pero el actor actualizará samples. Una ruta puede detectarse, pero el nombre puede cambiar. Lo durable es el comportamiento.

En Windows, hay que buscar ejecución desde rutas de usuario, creación de accesos directos en Startup, procesos que se copian a `%APPDATA%\silke`, listeners del portapapeles y loaders que ejecutan binarios internos. En macOS, hay que mirar scripts `.command` que remueven cuarentena, uso de `xattr -cr`, apertura forzada de apps no firmadas y herramientas descargadas desde ZIPs sospechosos.

También hay que detectar la narrativa. Repositorios recién creados con actividad anómala, comentarios repetitivos, vistas con picos sospechosos, descargas incompatibles con las plataformas ofrecidas y publicaciones coordinadas en medios son indicadores de campaña. La reputación no debe evaluarse por volumen; debe evaluarse por consistencia.

Si se identifica un equipo afectado, la prioridad no es discutir si el usuario “debía saberlo”. La prioridad es contener. Aislar el sistema, detener procesos sospechosos, eliminar persistencia, bloquear hashes, revisar descargas recientes, auditar wallets y exchanges, y analizar transacciones cercanas al momento de infección.

En cripto, la recuperación puede ser limitada. Las transacciones confirmadas son difíciles o imposibles de revertir. Aun así, hay acciones útiles: reportar direcciones del atacante a proveedores de inteligencia blockchain, notificar exchanges si hay rutas centralizadas, rotar credenciales si hubo exposición de sesiones y mover fondos restantes desde un ambiente limpio.

La lección operativa es clara: cuando el malware manipula portapapeles, la respuesta debe incluir tanto forense de endpoint como análisis de transacciones. Un SOC que solo mira procesos puede perder la pérdida financiera. Un equipo cripto que solo mira la blockchain puede perder el host que sigue robando.
La defensa más barata y más fuerte es el escepticismo entrenado. Antes de ejecutar una herramienta cripto, pregunte:

- ¿Necesito realmente esta herramienta?

- ¿Quién la mantiene?

- ¿El repositorio tiene historial real o actividad artificial?

- ¿Los comentarios parecen humanos o coordinados?

- ¿El video promete ganancias imposibles?

- ¿La descarga viene de GitHub, SourceForge o un enlace de Telegram?

- ¿El sistema me pide desactivar una advertencia de seguridad?

- ¿Puedo verificar el hash desde una fuente independiente?

- ¿Estoy dispuesto a perder los fondos si esta herramienta es maliciosa?

Si la respuesta honesta es incierta, no ejecute. En seguridad, la duda no es enemiga de la productividad. Es el freno antes del precipicio.

Esta campaña no es solo malware. Es una lección sobre confianza manipulada. El atacante entendió que GitHub, SourceForge, YouTube, VirusTotal y los medios pueden convertirse en espejos deformantes si se controlan suficientes señales. Construyó una fachada de popularidad para que el usuario bajara la guardia antes de instalar un clipper.

La tecnología importa: EDR, YARA, Sigma, hashes, rutas, comportamiento del portapapeles y detección de Gatekeeper bypass son necesarios. Pero no son suficientes. La defensa completa exige cultura: no firmar transacciones sin verificar, no creer en atajos automáticos, no confundir popularidad con seguridad y no permitir que una interfaz bonita reemplace el análisis.

En cripto, la dirección pegada es el último eslabón de una cadena de confianza. Si esa cadena fue envenenada desde el primer clic, el robo ya estaba decidido antes de que el usuario presionara “enviar”.

Fuente:

Check Point Research. (2026, junio 17). From Stars to Upvotes: Fake Reputation Fueling a Crypto Clipboard Hijacker. URL: https://research.checkpoint.com/2026/from-stars-to-upvotes-fake-reputation-fueling-a-crypto-clipboard-hijacker/