Malware basado en Python SolyxImmortal roba datos sensibles utilizando Discord

Una nueva amenaza informática denominada SolyxImmortal ha comenzado a llamar la atención de investigadores de ciberseguridad por su enfoque silencioso y persistente en el robo de información en sistemas Windows. Este malware, desarrollado en Python, representa una evolución en las campañas de espionaje digital, priorizando la vigilancia prolongada del usuario sobre ataques ruidosos o destructivos.

Detectado por primera vez en enero de 2026, SolyxImmortal integra múltiples capacidades de exfiltración de datos dentro de un solo implante, diseñado para operar de forma discreta durante largos periodos. Una vez activo, el malware se ejecuta en segundo plano sin mostrar señales visibles, recopilando credenciales, documentos, pulsaciones de teclado y capturas de pantalla, información que posteriormente es enviada a los atacantes mediante webhooks de Discord.

El método de infección se basa en la distribución de un script con apariencia legítima, identificado como “Lethalcompany.py”, lo que sugiere técnicas de ingeniería social para inducir a la ejecución manual del archivo. Todo el comportamiento del malware se encuentra codificado de forma estática, sin necesidad de módulos externos ni descargas adicionales, lo que reduce su huella y dificulta la detección temprana.

Tras su ejecución, SolyxImmortal establece persistencia de inmediato utilizando varios mecanismos del sistema operativo. El implante se copia en una ubicación oculta dentro del directorio AppData, adoptando un nombre que imita componentes legítimos de Windows. Posteriormente, se registra en la clave Run del registro, asegurando su ejecución automática en cada inicio de sesión sin requerir privilegios administrativos.

A diferencia de otros malware más agresivos, SolyxImmortal no intenta propagarse lateralmente ni infectar otros equipos. Su enfoque es completamente focalizado, concentrándose en la extracción continua de información de un único dispositivo comprometido. Esta estrategia permite a los atacantes mantener visibilidad constante sobre la actividad del usuario sin generar tráfico o comportamientos anómalos evidentes.

Analistas de Cyfirma señalan que el malware demuestra un alto grado de madurez operativa, aprovechando APIs legítimas de Windows y servicios ampliamente utilizados para ocultar su actividad. El uso de Discord como canal de comando y control resulta especialmente efectivo, ya que el tráfico viaja cifrado mediante HTTPS y se mezcla con comunicaciones legítimas, evadiendo muchos sistemas de detección basados en red.

En cuanto al robo de credenciales, SolyxImmortal apunta a navegadores populares como Google Chrome, Microsoft Edge, Brave y Opera GX. El malware accede a los directorios de perfil de cada navegador, extrae las claves maestras de cifrado mediante DPAPI de Windows y descifra las contraseñas almacenadas utilizando AES-GCM. Las credenciales obtenidas quedan en texto plano antes de ser enviadas a los servidores controlados por los atacantes.

Además, el implante realiza una recolección selectiva de archivos, escaneando el directorio principal del usuario en busca de documentos con extensiones comunes como .pdf, .docx y .xlsx. Para evitar levantar sospechas, filtra los archivos por tamaño, reduciendo el volumen de datos exfiltrados y minimizando el impacto en el rendimiento del sistema.

Toda la información recolectada es finalmente comprimida en un archivo ZIP, que se transmite a través de webhooks de Discord, completando así el ciclo de robo de datos. Esta técnica confirma una tendencia creciente en la que los actores de amenazas abusan de plataformas legítimas para encubrir actividades maliciosas y eludir controles de seguridad tradicionales.

SolyxImmortal refuerza la necesidad de monitoreo avanzado de endpoints, control estricto de scripts ejecutables y una revisión cuidadosa del tráfico saliente, incluso cuando este se dirige a servicios ampliamente confiables. Para usuarios y organizaciones, el caso subraya que el sigilo, y no la destrucción, es hoy una de las mayores amenazas en el panorama del malware moderno.