En 2025, un empleado de una empresa en Brasil recibió un correo sobre una factura pendiente. Hizo clic en el enlace, descargó lo que parecía un PDF. Lo que en realidad descargó fue el primer eslabón de una cadena de infección que terminaría con un operador remoto viendo su pantalla en tiempo real, esperando a que abriera su aplicación bancaria. El equipo de investigación global de Kaspersky, GReAT, acaba de publicar el análisis técnico más completo disponible de JanelaRAT, el troyano financiero más activo de América Latina, este registra 14.739 ataques documentados en Brasil y 11.695 en México solo en 2025. Colombia, Chile y el resto de la región están en la lista de objetivos.

JanelaRAT no es nuevo. Es que nunca se fue y nunca dejó de evolucionar

El nombre viene del portugués janela, ventana. La referencia no es poética, el malware monitorea el título de cada ventana activa en el sistema de la víctima, comparándolo contra una lista hardcodeada de instituciones financieras. Cuando hay coincidencia, activa su cadena de ataque. Cuando no la hay, espera en silencio.

JanelaRAT circula desde junio de 2023 como variante modificada de BX RAT, pero lo que Kaspersky documenta en 2026 es una versión sustancialmente más sofisticada. Los actores detrás de las campañas actualizan el malware y su cadena de infección de forma continua, una disciplina operativa que explica su persistencia en el tiempo mientras otros troyanos bancarios de la región desaparecen tras unos meses de actividad.

La versión analizada es JanelaRAT 33, disfrazada como aplicación legítima de pixel art para evadir análisis estático inicial. Protegida con Eazfuscator, un ofuscador de .NET ampliamente usado en el ecosistema de malware comercial, con Control Flow Flattening y renombramiento de clases para hacer el código ilegible sin desobfuscación previa. No es la primera vez que los operadores usan este toolkit, versiones anteriores empleaban ConfuserEx o builds personalizados del mismo. El patrón es consistente y deliberado.

La cadena de infección: de una factura falsa a DLL sideloading en cuatro pasos

El vector de entrada inicial no ha cambiado en años porque no necesita cambiar. Funciona. Un correo de phishing suplanta la notificación de una factura pendiente, incluye un enlace que redirige a un sitio malicioso y descarga un archivo comprimido. Lo que ha evolucionado es lo que viene después.

Las primeras campañas de JanelaRAT usaban VBScripts dentro de archivos ZIP. Desde al menos mayo de 2024, la cadena migró a instaladores MSI, un cambio táctico que reduce el número de pasos de instalación y mejora las probabilidades de evadir controles de seguridad que inspeccionan scripts pero no binarios empaquetados.

El MSI actúa como dropper inicial. Sus acciones están diseñadas específicamente para dificultar el análisis forense: obfusca rutas y nombres de archivo, crea objetos ActiveX para manipular el sistema de archivos y ejecuta comandos maliciosos. El proceso completo sigue esta secuencia:

• El MSI verifica la existencia de un archivo indicador de primera ejecución. Si no existe, lo crea y continúa la instalación. Si existe, redirige al usuario a un sitio web externo legítimo como señuelo, simulando que todo funcionó normalmente.
• Deposita dos archivos en una ruta definida por variables de entorno: el ejecutable legítimo nevasca.exe y la librería PixelPaint.dll, renombrados con combinaciones de cadenas aleatorias antes de ser relocalizados.
• Crea un acceso directo LNK en la carpeta Startup del usuario apuntando al ejecutable renombrado, garantizando persistencia en cada inicio de sesión sin requerir escalada de privilegios.
• Ejecuta nevasca.exe, que carga PixelPaint.dll mediante DLL sideloading. Esa DLL es JanelaRAT.

La técnica de DLL sideloading es deliberada, el proceso malicioso se ejecuta bajo la cobertura de un binario legítimo firmado, complicando la detección por soluciones que confían en la reputación del ejecutable padre.

Cómo JanelaRAT monitorea, espera y ataca

Una vez activo, JanelaRAT recolecta información del sistema, versión del sistema operativo, arquitectura del procesador, nombre de usuario, nombre de máquina y nivel de privilegio del usuario actual. Asigna nicknames diferenciados a administradores, usuarios estándar, invitados y otros roles para clasificar el valor potencial de cada víctima antes de proceder.

El malware crea un mutex para evitar múltiples instancias simultáneas y establece un socket TCP hacia el servidor C2 para registrar la infección junto con la versión del malware. Desde ese punto lanza dos rutinas paralelas que definen toda su lógica operativa.

Rutina 1. Monitor de actividad:

JanelaRAT calcula continuamente el tiempo transcurrido desde la última entrada del usuario. Si supera los 10 minutos, notifica al operador. Cuando el usuario retoma la actividad, notifica de nuevo. El propósito es claro: el operador sabe exactamente cuándo la víctima está frente a la pantalla, sincronizando las operaciones de alto riesgo con los momentos de mayor atención del objetivo.

Rutina 2. Gestión activa:

JanelaRAT obtiene el título de la ventana activa en ciclo continuo y lo compara contra su lista hardcodeada de instituciones financieras objetivo. La nueva versión apunta principalmente a instituciones financieras brasileñas, pero Kaspersky confirma versiones con listas de objetivos específicas para México bajo la etiqueta "Gold-Label".

Cuando hay coincidencia, el malware espera 12 segundos antes de abrir el canal C2 dedicado y ejecutar las acciones maliciosas. Doce segundos que el operador usa para preparar la respuesta.

Las capacidades del canal de comando son extensas y representan lo que Kaspersky describe como secuestro de sesión bancaria en vivo, no solo robo de credenciales:

• Capturas de pantalla completas o de regiones específicas enviadas al C2
• Keylogging continuo con inyección de teclas simuladas (DOWN, UP, TAB) para navegar formularios
• Control total del cursor: movimiento, clics simulados, reporte de posición en tiempo real
• Ocultamiento del Task Manager para impedir que la víctima detecte procesos anómalos
• Ejecución de comandos CMD y scripts PowerShell
• Shutdown forzado del sistema
• Detección activa de software antifraude bancario instalado en el dispositivo

El sistema de overlays: la pantalla de actualización de Windows que no es una actualización

El mecanismo más sofisticado del implante es su sistema de overlays de señuelo, diseñado para capturar credenciales y sortear la autenticación multifactor. Cuando detecta una ventana bancaria activa, el malware solicita instrucciones al C2. El servidor responde con un identificador de comando y una imagen codificada en Base64, que JanelaRAT renderiza como ventana en pantalla completa imitando interfaces bancarias o del sistema operativo.

Entre los elementos de señuelo documentados:

• Diálogos modales de captura de contraseña,
• Capturas de token o MFA, pantallas de carga falsas
• Notificaciones de actualización de Windows.

Estas últimas aparecen acompañadas de mensajes en portugués brasileño como "Configurando Windows updates, por favor espere" y "No apague su computadora, esto puede tomar algún tiempo." La víctima ve lo que parece una actualización legítima del sistema. El operador, en paralelo, está ejecutando la transacción fraudulenta en la sesión real que permanece activa detrás del overlay.

La infraestructura C2 de la versión 33 añade una capa adicional de resiliencia operativa, rotación diaria de dominio. Una vez detectada la ventana bancaria objetivo, el malware construye dinámicamente el dominio del canal C2 concatenando una cadena ofuscada, la fecha actual y un sufijo de un servicio DDNS (DNS dinámico) legítimo. La comunicación usa el puerto 443 pero sin TLS, una elección que facilita el tránsito a través de firewalls corporativos que no inspeccionan tráfico en ese puerto asumiendo que es HTTPS legítimo.

La rotación diaria implica que el bloqueo por dominio o IP tiene una ventana de efectividad de menos de 24 horas. Kaspersky lo dice explícitamente en sus conclusiones: la recomendación más efectiva es bloquear servicios DDNS en el perímetro corporativo o en los resolvers DNS internos, no perseguir dominios individuales que habrán cambiado antes de que el bloqueo se propague.

Anti-análisis: El malware que detecta si lo están estudiando

JanelaRAT 33 incorpora rutinas de detección de entornos de análisis que van más allá del sandbox evasion básico. Utiliza los componentes Magnifier y MagnifierWindow de Windows para determinar si hay herramientas de accesibilidad activas en el sistema, lo que típicamente indica un entorno de análisis de malware. Si los detecta, modifica su comportamiento para evitar revelar sus capacidades reales.

El cifrado de strings es consistente en todas las muestras, combinación de codificación Base64 con Rijndael (AES), donde la clave de cifrado se deriva del hash MD5 de un número de cuatro dígitos y el IV corresponde a los primeros 16 bytes de los datos Base64 decodificados. Este esquema se mantiene estable entre campañas, lo que sugiere una base de código centralizada con actualizaciones modulares en lugar de reimplementaciones completas.

El CSIRT Financiero de Asobancaria emitió alerta sobre esta campaña el 12 de abril de 2026, confirmando actividad activa dirigida al sector financiero latinoamericano con clasificación de importancia media, lo que en el contexto del sector bancario colombiano equivale a un vector con capacidad demostrada de impacto operativo.

El indicador más importante que los equipos defensivos suelen ignorar

KPMG documentó en julio de 2025 una variante de JanelaRAT distribuida mediante instaladores MSI alojados en GitLab haciéndose pasar por software legítimo, con scripts de orquestación en Go, PowerShell y batch que además instalaban una extensión maliciosa de Chromium para capturar cookies, historial de navegación y datos de sesión. Esa variante apuntaba específicamente a Chile, Colombia y México.

El patrón de targeting regional no es aleatorio. Apunta a mercados con alta penetración de banca digital, marcos regulatorios de autenticación más permisivos que Europa y una brecha documentada en capacidades de detección de amenazas financieras avanzadas.

Los indicadores de compromiso publicados por Kaspersky son tres:

1. El hash MD5 del dropper MSI (808c87015194c51d74356854dfb10d9e),
2. El hash del implante JanelaRAT (d7a68749635604d6d7297e4fa2530eb6)
3. El dominio C2 primario (ciderurginsx[.]com).

Estos IoCs son válidos para la campaña documentada, pero dada la rotación diaria de infraestructura, la detección basada en IoCs estáticos es estructuralmente insuficiente frente a este adversario.

Lo que sí escala como defensa es la gestión de amenazas orientada a comportamiento: bloqueo de DDNS en DNS corporativo, monitoreo de DLL sideloading desde directorios no estándar, detección de LNK en carpetas Startup creados por procesos MSI y restricción de herramientas de accesibilidad en endpoints que no las requieran operativamente.

La pregunta que cada responsable de seguridad en el sector financiero latinoamericano debería responder esta semana no es si JanelaRAT puede afectar su organización. La telemetría de Kaspersky ya responde eso con 26.000 ataques documentados solo en dos países. La pregunta es: ¿cuánto tiempo llevaría detectar que un operador remoto está viendo la pantalla de uno de tus usuarios mientras ese usuario cree que está esperando una actualización de Windows?