Executive Summary
El ecosistema del robo de credenciales ha experimentado una transformación significativa desde 2021. La aparición de los llamados traffers representa una de las evoluciones más relevantes: grupos cibercriminales especializados que han industrializado la distribución de malware de robo de información y la comercialización de los logs obtenidos.
A primera vista, los traffers podrían parecer grupos cibercriminales ordinarios que roban información con fines de lucro. Sin embargo, su influencia en el mercado de credenciales robadas los convierte en actores especialmente peligrosos y con impacto. La estructura de algunos de ellos es comparable a la de una empresa: reclutamiento activo, formación de trabajadores, sistemas de compensación, indicadores de rendimiento y herramientas propias de gestión.
Durante el periodo de esta investigación, se monitorizaron activamente varios grupos de traffers, recopilando información de foros underground y canales de Telegram, así como obteniendo y analizando muestras de malware de distintas fuentes. Entre los hallazgos más relevantes:
- El precio de los infostealers se incrementó un 2.000% en 2022, reflejo de la creciente profesionalización del sector.
- Surgieron servicios de suscripción a canales privados de Telegram —denominados clouds— donde se comparten logs de forma continua, con precios de entre US$35/semana y US$1000/acceso vitalicio.
- El trabajador mejor pagado de uno de los equipos monitorizados llegó a ganar US$13.200 en un solo mes en concepto de generación de tráfico de logs y tasas de infección.
Cómo empezó todo
Entre 2021 y 2023 una de mis principales tareas era la de investigar el ecosistema de robo de datos, en toda su amplitud. Desde los procesos de exfiltración de información por parte de grupos de ransomware hasta el robo masivo de credenciales. El objetivo era conceptualmente sencillo, pero complejo en la práctica: salvaguardar las espaldas de los clientes de la empresa para la que trabajaba, tratando de garantizar que, en el momento en que hubiera una exfiltración de credenciales, los clientes pudieran remediar el asunto antes de que la killchain avanzara.
Si eres profesional del sector, seguro que imaginas la complejidad y tamaño de esta tarea. Cuando te enfrentas a un problema tan amplio, las soluciones no pasan por ser “quirúrgico”, hay que tirar a volumen. Teníamos que ser capaces de pocesar cuantas más credenciales robadas (por los malos), mejor, para aumentar las posibilidades de que alguna de esas credenciales procesadas fuera la de uno de nuestros clientes. Es sencillo, pura estadística. Si para obtener una credencial de un cliente necesitas procesar 5 Millones, para obtener 10, necesitas 50 Millones. Ahora entenderás la obsesión que podíamos tener por intentar abarcar todas las fuentes y todas los formatos posibles en los que estas se exfiltran. Este es un ‘problema’ que enfrentan todos los proveedores de Threat Intel que ofrecen el servicio de monitoreo de credenciales.
Un buen día, en nuestra revisión rutinaria de la DarkWeb y Telegram en busca de fuentes, nos encontramos algo raro: un zip de 4GB que contenía miles de Logs de Infostealer. Perfectamente empaquetado, perfectamente ordenado en subcarpetas con nombres que parecían secuenciales. BINGO! tenemos hilo del que tirar. Alguien tiene miles de stealer logs y los está compartiendo, había que encontrar la fuente.
Tras varias interacciones en foros, alguna identidad quemada y horas y horas de búsqueda, llegamos a la fuente. Un canal de Telegram en el que no solo se compartía un zip de 4GB, se compartían decenas al día. Ahí empezó todo, ahí empezó esta investigación, ahí empezaron las infiltraciones y el desenmascaramiento de una red harto compleja de grupos que operaban de manera organizada, muchas veces interconectados entre si, reclutando chavales para diseminar malware, utilizando canales separados para la venta de credenciales y logs de infostealer, orquestando infraestructuras, y hasta regalando los logs que consideraban viejos (más de una semana desde que se robaron). Ese fue su “error”, regalar logs para publicitarse… fue lo que nos llevó hasta ellos, lo que, tras muchas horas de investigación, nos llevó a acuñar el término “Traffer” para identificar este nuevo modelo de negocio criminal que venía de Rusia.
Eramos los descubridores de este modelo criminal… nos pusimos a investigar si había referencias por parte de otros proveedores a este tipo de Actores, y no las había, aunque valga la pena mencionar que sí que había sospechas por parte de algún proveedor de que “tenía que haber algo más detrás”. Nosotros ya lo habíamos descubierto. Semanas después de haber terminado la investigación, mientras lo de márketing terminaban de maquetar el report recuerdo acudir a una charla en la RootedCON. Era una charla sobre infostealers, y el ponente mencionó que habían identificado también los tremendos zips que contenían miles de stealer logs. Preguntó si alguien del público sabía lo que eran y de dónde venían, porque les tenía desconcertados. Yo me callé en primera instancia, pues con la de NDAs que uno firma nunca se sabe… tras la charla, habiendo recapacitado y estando la investigación a solo días de ser publicada, me acerqué y le conté toda la película de los Traffers. Me lo agradeció con un Floppy Disk con relgas YARA que todavía conservo (tuve que comprarme una disquetera portátil para leerlo, pero me encantó el detalle). A los pocos días le mandé el PDF con el report de la investigación.
Ahora que sabes cómo empezó esta investigación, entremos en materia.
Cómo ha evolucionado el ecosistema de credenciales
El ciclo de vida del robo de credenciales se compone de cuatro fases: recopilación, filtrado y extracción, validación, y monetización. En los últimos años, la tercera fase, la de validación, ha cambiado de manos: son ahora los compradores quienes asumen esta tarea, lo que acelera las transacciones y obliga al mercado a funcionar por reputación.
El surgimiento de los Traffers ha afectado especialmente a la cuarta fase. En lugar de simplemente compartir o vender credenciales en foros especializados o marketplaces en la DarkWeb (como Genesis Market, Russian Market, 2easy Market, etc.), los traffers crearon un entorno paralelo de clouds en Telegram: canales privados de pago donde se comparten stealer logs de forma constante. Este modelo replica el funcionamiento de plataformas de streaming bajo suscripción: el cliente paga periódicamente por el acceso, independientemente de cuántos logs consulte. Los canales privados se suelen vender simultáneamente a 5-10 usuarios, y algunos grupos de Traffers tienen una batería de canales privados a los que envían stealer logs distintos, para evitar el “quemado” rápido de logs, garantizando así la calidad.
Evolución del precio de los infostealers (2018–2022)
La maduración del mercado y el crecimiento del volumen de negocio se observa claramente en la evolución de precios de las familias de malware que entonces eran más populares (LummaC2 vendrá después, hablaremos de él en la parte II, en la siguiente publicación):
| Familia | Año | Precio (suscripción vitalicia) |
|---|---|---|
| KeyBase | 2018 | $40 |
| Eredel | 2018 | $40 |
| Sorano | 2019 | $20 |
| Oski | 2020 | $70 |
| Apocalypse Stealer | 2020 | $45 |
| Hunter | 2020 | $50 |
| Bloody Stealer | 2021 | $40 |
| Mars Stealer | 2022 | $800 |
| Rhadamanthys | 2022 | $999 |
| Titan Stealer | 2022 | $900 |
Este aumento de precios refleja la creciente demanda por parte de grupos profesionalizados, no solo Traffers, también IABs (Initial Access Brokers) y grupos de ransomware, que buscan calidad, estabilidad y soporte técnico en lugar de herramientas baratas o de código abierto.
Estructura de los equipos traffer
4.1 Introducción al ecosistema traffer
El crecimiento exponencial de las redes sociales permitió a los traffers capitalizar la distribución masiva de malware a través de plataformas legítimas. Su estructura piramidal, de tipo “empresa”, distingue a estos grupos de otros actores del ecosistema de robo de datos. Los elementos clave son:
[Administradores]
|
[Traffers / Trabajadores]
/ | \
SEO Cifrado Webs/
Services Malware EditoresEn la cima se encuentran los administradores. Los admins son los que que realizan la inversión inicial: compran los infostealers, los crypters, montan la infra en Telegram, generan documentación, etc. En la base están los traffers, que son responsables de generar tráfico e infectar el mayor número posible de dispositivos, utilizando todos los medios a su alcance. Más abajo, ya fuera de la “organización” se forma todo un ecosistema de servicios a disposición de estos grupos, tales como servicios de SEO, desarrolladores web (para crear las típicas webs de software pirata que luego usarán para diseminar malware), vendedores de cuentas de Youtube robadas (con muchos subs y que serán usadas para subir tutoriales de instalación de software pirata con malware), y cualquier otro servicio que pueda ayudar a diseminar malware.
4.2 El rol de los “admins”
Los administradores son el núcleo organizativo del grupo. Sus funciones principales incluyen:
- Gestión de personal: regulan el acceso al grupo, evalúan el rendimiento y penalizan a quienes no cumplen los objetivos. Montan concursos en los que dan premios al “Traffer del mes” y similares. También hacen las entrevistas de acceso y se encargan del reclutamiento en foros como Zelenka.
- Inversión continua: compran nuevos Infostealers, herramientas de evasión (FUD crypters) y actualizaciones.
- Documentación y formación: elaboran manuales técnicos para que incluso los traffers sin experiencia puedan empezar a trabajar desde el primer día. De hecho, las documentaciones que montan para sus trabajadors aveces son tan buenas que podrían considerarse una falla de SecOps. Alguna de estas documentaciones nos dio muchísima información sobre el funcionamiento de estos grupos que desconocíamos.
- Gamificación del proceso: publican rankings, “high scores” y organizan concursos con premios económicos para fomentar la competitividad entre trabajadores. Llegamos a observar competiciones con premios de hasta US$5.000 para el primer puesto.
- Venta de logs: gestionan las clouds (canales privados de Telegram) donde se comercializan los logs exfiltrados, con suscripciones de entre US$35/semana y miles de dólares si se quiere la suscripción de por vida.
Los admins también establecen alianzas comerciales con otros grupos de traffers o intermediarios que se dedican a la reventa de logs, publicitando sus clouds en canales “amigos” para minimizar la exposición en foros clandestinos y gestionar el máximo posible dentro de Telegram. Esto es muy interesante, porque haciendo analítica de interacciones se pueden observar “burbujas” o meta grupos de grupos de Traffers, con un entramado complejo y extenso de relaciones entre grupos (tanto positivas como negativas).
4.3 El rol de los “traffers”
Los traffers constituyen la base operativa. Su ciclo de trabajo es el siguiente:
1. Unirse al grupo (formulario de registro vía bot de Telegram y entrevista)
↓
2. Descargar el malware (desde el bot del grupo)
↓
3. Ocultar el malware (habitualmente embebido en software crackeado)
↓
4. Distribuir el malware (YouTube, phishing, redes sociales)
↓
5. Cobrar (a través del bot de Telegram, según logs generados)El proceso de incorporación suele realizarse a través de un bot de Telegram que automatiza el registro (aunque muchas veces hay entrevista por escrito también). El mismo bot se encarga de facilitar la descarga de builds y la subida de logs. Los traffers pueden gestionar toda su actividad desde el propio bot: descargar nuevas versiones del malware, ver sus estadísticas y retirar sus ganancias.
Distribución a través de YouTube
El vector más habitual es la publicación de vídeos de YouTube que prometen versiones crackeadas de software de pago conocido (Adobe Premiere Pro, Zoom, AnyDesk…). Las Red Flags que deberían de ponernos alerta en estos vídeos incluyen:
- Número de suscriptores artificialmente elevado en relación con las visualizaciones reales (uso de YouTube bots).
- Instrucciones para deshabilitar el antivirus antes de la descarga.
- Archivos comprimidos con contraseña de tamaño anormalmente reducido (≈6 MB para una suite completa).
- Que alguien nos regale algo que cuesta dinero. Aunque esto es de perogrullo, a la gente se le olvida con facilidad.
Cuando el usuario ejecuta el archivo descargado, éste realiza una petición GET a un servidor C2 que descarga el payload real. En la investigación analizamos varias muestras en las que encontramos coincidencia con Laplas Clipper.
Técnicas alternativas de distribución
Además de YouTube, los traffers emplean otras técnicas (en realidad todo lo que se les ocurre). Nosotros identificamos las siguientes:
- Google Ads fraudulentos: crean dominios de typosquatting y páginas que suplantan software legítimo, posicionadas en los primeros resultados de búsqueda mediante publicidad de pago. Esta técnica es ampliamente discutida en los foros clandestinos como fuente principal de infecciones.
- Phishing dirigido: páginas de descarga falsas que imitan portales de software popular.
- Herramientas auxiliares: se ha observado el uso de Quantum LNK Builder, que permite crear archivos
.LNKmaliciosos (accesos directos de Windows), capaces de suplantar cualquier extensión e icono para parecer software legítimo.
Impacto en el mercado underground
5.1 Servicios y herramientas accesorias
La aparición de los traffers ha generado una demanda de servicios especializados que ha transformado el mercado clandestino:
- Servicios SEO: orientados principalmente a posicionar vídeos de YouTube con malware. Los precios observados en el foro Zelenka oscilaban entre US$1,1 y US$6,3 por vídeo, con un pack completo por ≈US$7,2. El servicio de unicalization de vídeos (para evadir la detección de contenido duplicado de YouTube) también es popular.
- Crypters FUD (Fully Undetectable): herramientas para ofuscar el malware y evadir soluciones antivirus. Proporcionados habitualmente por los propios admins como parte del kit de trabajo.
- Cuentas de YouTube robadas: utilizadas para publicar vídeos con malware desde cuentas con historial y suscriptores reales, aumentando la credibilidad del contenido.
- Bots de Telegram a medida: desarrollados para automatizar la gestión del grupo (registro de traffers, distribución de builds, recepción de logs, sistema de pagos).
- Desarrollo web: algunos desarrolladores se ofrecen para montar páginas web de tipo Softonic que luego serán usadas por los traffers para diseminar software pirata (aveces funcional) pero con la sorpresa de un malware dentro.
5.2 Infostealer más usado
Distribución observada (enero 2023, 112 clouds de Telegram)
Durante el seguimiento de 112 clouds de Telegram en enero de 2023, se observó la siguiente distribución de familias de malware:
| Familia | Logs | Porcentaje |
|---|---|---|
| RedLine | 492.767 | 70,23% |
| Arkei | 135.459 | 19,31% |
| RaccoonStealer | 71.787 | 10,23% |
| Cryptbot | 824 | 0,12% |
| Predator | 743 | 0,11% |
| Azorult | 43 | 0,01% |
| DarkCrystal | 30 | 0,004% |
| FickerStealer | 5 | 0,0007% |
De los 112 clouds, 80 pertenecían a grupos de habla rusa y 32 a grupos de habla inglesa (aunque no pudimos descartar que fueran también de origen ruso).
Nota: RedLine, como familia, agrupa también MetaStealer y AuroraStealer en algunos contextos. Arkei comprendía Vidar, Oski y Mars en nuestras reglas de detección.
Aurora Stealer
Aurora Stealer era una familia de malware bastante relevante en el ecosistema traffer, adoptada por múltiples equipos. Su desarrollo incorporó características específicamente orientadas a este modelo:
- Identificadores por grupo: Aurora asigna un
BuildIDy unGroupIDa cada build, lo que permite a los administradores distinguir qué traffer o grupo generó cada infección. En las comunicaciones con el C2, estos valores se enviaban en claro y podían ser extraídos con Wireshark. - Soporte activo: algunos de los grupos monitorizados (como KZ Team y SAKURA Team) recibían actualizaciones del malware durante el periodo de investigación, lo que indica contratos de soporte a largo plazo con el desarrollador.
Grupos que empleaban Aurora Stealer (lista no exhaustiva): SpaceTeam, BrazzzersLogs, DevilsTraff, BartLogs, RavenLogs, Gfbg6, HellRide, YungRussia, SAKURA, KZ, Horny Molly Team, Xane Team, ARIZON Team.
Muestras de Aurora Stealer identificadas:
| SHA256 | Grupo | BuildID |
|---|---|---|
e1bbb9d593307a6905a3155676d41daf851809594b367542febeeda3921c6b87 | SAKURA | @traxoeb3000 |
bd726eef36c695718a65bf614dcf36afe0e7ef0e3143557a5cf17699be98283f | SAKURA | @camaleon345 |
d8d5c89b806ec6899ee8ed7a6e322e1826c71508ff0eb8d61b76ca08a56cb171 | KZ | @DEVil1037 |
a0dcb35ae9723cdfe30629b7ffaa646c8eeaa18ed3c4aac59718d1574a55f20c | KZ | @quetwaf |
2d8a75a12cb390b6f65eb7623da00cef963144570e760cafc8a5e710351ade1 | KZ | @Ligalaize_Corp |
7e827dc53236292dcf166d53fff764e83a7ca793641d26c37d7d8b2dc52b445a | KZ | @zfsdfszdxfzxfxcfz |
4c8fc10a99584baff85378b24f58ad4d7b64cff481b44c8ee332560b507560ce | KZ | @im_HiLLi |
Rhadamanthys Stealer
Desarrollado en C++ y activo desde septiembre de 2022, Rhadamanthys incorporó una funcionalidad específica para traffers: estadísticas separadas por proveedor de tráfico, lo que facilita la gestión del rendimiento de cada traffer por parte de los administradores. Se ha distribuido camuflado como Notepad++, Zoom y AnyDesk.
5.3 Otras familias de malware: Laplas Clipper
Más allá de los stealers, algunos equipos de traffers distribuyen también clippers. El más destacado durante la investigación fue Laplas Clipper, anunciado en foros como Exploit[.]in y Zelenka[.]guru desde finales de 2022.
Su funcionamiento consiste en interceptar transacciones de criptomonedas sustituyendo la dirección de destino copiada en el portapapeles por una dirección generada por el malware (de aspecto muy similar a la legítima). Soporta más de 20 tipos de wallets, incluyendo Bitcoin, Ethereum, Monero, Solana, Tron, Cardano y Ripple.
La generación de direcciones fraudulentas puede ser por prefijo (genera direcciones que comienzan igual que la legítima) o sufijo (genera las últimas 3 posiciones). El malware se gestiona a través de un panel web y envía notificaciones a Telegram.
Durante la investigación, Laplas Clipper también fue observado siendo distribuido junto a RaccoonStealer 2.0 y SystemBC en cadenas de infección iniciadas por SmokeLoader.
Indicadores de Compromiso
| Indicador | Tipo | Descripción |
|---|---|---|
e1bbb9d593307a6905a3155676d41daf851809594b367542febeeda3921c6b87 | SHA256 | Aurora Stealer — SAKURA Team |
bd726eef36c695718a65bf614dcf36afe0e7ef0e3143557a5cf17699be98283f | SHA256 | Aurora Stealer — SAKURA Team |
d8d5c89b806ec6899ee8ed7a6e322e1826c71508ff0eb8d61b76ca08a56cb171 | SHA256 | Aurora Stealer — KZ Team |
a0dcb35ae9723cdfe30629b7ffaa646c8eeaa18ed3c4aac59718d1574a55f20c | SHA256 | Aurora Stealer — KZ Team |
2d8a75a12cb390b6f65eb7623da00cef963144570e760cafc8a5e710351ade1 | SHA256 | Aurora Stealer — KZ Team |
7e827dc53236292dcf166d53fff764e83a7ca793641d26c37d7d8b2dc52b445a | SHA256 | Aurora Stealer — KZ Team |
4c8fc10a99584baff85378b24f58ad4d7b64cff481b44c8ee332560b507560ce | SHA256 | Aurora Stealer — KZ Team |
hxxp://185.223.93[.]251/ | URL | Laplas Clipper C2 |
hxxp://104.193[.]254.97/conhost.exe | URL | Laplas Clipper — descarga de payload |
Algunas recomendaciones
Configurar políticas de seguridad del navegador para todos los usuarios de la organización:
- Deshabilitar el guardado de contraseñas y el autocompletado en navegadores, ya que las credenciales almacenadas pueden ser fácilmente extraídas por los infostealers.
- Bloquear la instalación de software no autorizado por parte del usuario final.
Proteger las credenciales con soluciones adicionales:
- Usar un gestor de contraseñas corporativo para generar contraseñas distintas y mantener las credenciales seguras.
- Habilitar métodos de autenticación multifactor para todas las cuentas, incluyendo aplicaciones de terceros.
Mantener actualizado el programa de formación a usuarios finales sobre las últimas amenazas:
- Al hacer clic en un anuncio o cualquier enlace, verificar siempre que se ha redirigido al sitio deseado.
- Prestar atención al typosquatting de dominios, contenido divergente y otras señales de alerta en un sitio web para evitar caer en un anuncio fraudulento o contenido malicioso.
- No descargar software “crackeado” en dispositivos corporativos ni personales. Esta es una de las medidas de “seguridad” más potentes.
- No combinar uso personal y profesional en un mismo dispositivo.
Palabras finales
Hasta aquí ha llegado la publicación de hoy. La investigación original es más extensa, pero creo que este rework es suficiente como para introducir el concepto de Traffers, Infostealers y el ecosistema que los rodea, de cara a la segunda parte, que será publicada pronto. No os dejo enlace a la publicación original porque no he sido capaz de encontrarlo y ya no trabajo en esa empresa… Si quieres profundizar más o simplemente echarle un vistazo a las capturas de pantalla que hay de los grupos de Traffers y los foros de la Darkweb, no dudes en contactarme por Linkedin y te paso el PDF enterito :)
Nos vemos en la siguiente!
o7
—Jacobo Blancas