Ciberdefensa | Informe de S2Grupo  MetaStealer: así es el malware sigiloso que amenaza sectores estratégicos

MetaStealer, considerado uno de los malwares más activos y sofisticados del año, se ha consolidado como una de las principales amenazas para sectores estratégicos europeos. Energía, transporte, servicios financieros y administraciones públicas están en el punto de mira de este software malicioso, caracterizado por su capacidad evasiva, automatización y persistencia en sistemas comprometidos. El malware es, en líneas generales, un programa informático diseñado para dañar, interrumpir o acceder sin autorización a sistemas informáticos, redes o datos.

Un nuevo informe técnico de S2GRUPO, correspondiente al segundo trimestre de 2025, analiza más de 60 variantes activas y documenta en detalle su ciclo de vida, vectores de entrada, infraestructura de mando y control (C2) y técnicas de evasión.

Un malware que no ataca de inmediato

MetaStealer se distingue por no actuar con rapidez. Construye su infraestructura de forma progresiva, utilizando algoritmos de generación de dominios (DGA) que le permiten crear direcciones dinámicas y difíciles de bloquear por métodos tradicionales. Para insertarse en los sistemas, recurre a artefactos aparentemente legítimos como archivos LNK (archivo de acceso directo o «shortcut» de Windows) o instaladores MSI Wrapper (es un archivo ejecutable —.exe—), además de técnicas de inyección en memoria que le garantizan sigilo.

Desde LAB52, la unidad de ciberinteligencia de S2GRUPO, explican que este tipo de amenazas «no se activa con un ataque visible. Se inserta en la red, establece su canal de mando y permanece latente. Detectar ese comportamiento antes de que se manifieste es lo que marca la diferencia».

Fruto de su investigación, la compañía ha desarrollado nuevas capacidades técnicas para anticiparse al ciclo de vida de MetaStealer. Entre ellas destacan:

• Extractor de semillas DGA, que permite prever y bloquear dominios antes de que el malware los active.

• Reglas YARA y SIGMA específicas, ya en uso en entornos de clientes estratégicos.

• Correlaciones avanzadas, basadas en patrones de persistencia, estructuras de inyección en memoria y cambios en cabeceras PE.

• Monitorización dinámica de IoCs, con actualizaciones continuas a partir de nuevas muestras capturadas en 2025.

«La capacidad de extraer las semillas DGA desde las muestras nos permite desactivar la infraestructura del atacante antes de que se conecte. Es una estrategia de defensa anticipada, no reactiva», subrayan desde LAB52.

El estudio refleja un cambio de paradigma en la defensa frente al malware: las amenazas actuales no se limitan a penetrar sistemas, sino que se construyen para operar de forma sostenida y automatizada. Frente a este escenario, S2GRUPO impulsa un modelo de defensa estructural basada en inteligencia técnica soberana.

La empresa traduce su investigación en soluciones aplicables:

• Reglas de detección adaptadas a distintos entornos (IT, OT e híbridos).

• Bloqueo proactivo de dominios C2 gracias a la extracción de semillas DGA.

• Alertas tempranas contextualizadas según sector, tecnología y ubicación.

• Asistencia directa a equipos SOC, CSIRT y Red Team para la interpretación táctica y la respuesta operativa.

Este enfoque, según la compañía, permite anticiparse al ciclo de vida del malware, marcando la diferencia entre reaccionar a un ataque o adelantarse a él.

Soberanía tecnológica

S2GRUPO subraya que el desarrollo de estas capacidades responde a una apuesta por la soberanía tecnológica. Todo el trabajo de investigación del equipo de LAB52 se ha realizado en Europa, con la idea de ofrecer a los sectores estratégicos europeos un control total sobre sus medios de defensa y de inteligencia operativa.

Rafael Rosell, Chief Revenue Officer de la compañía, señala que «frente a una amenaza que no se manifiesta de forma inmediata, sino que se construye desde la persistencia y el sigilo, la anticipación se convierte en una función crítica. La capacidad de entender el comportamiento de estos ataques, más allá del incidente puntual, es lo que permite proteger lo esencial».