- Raven Stealer es un malware distribuido principalmente a través de Telegram y GitHub.
- Utiliza técnicas avanzadas de ocultación y extracción de datos desde navegadores en Windows.
- Emplea la API de Telegram como canal de comando y control para filtrar información robada.
- Desarrollado por ZeroTrace Team, está dirigido a criminales con poca experiencia técnica.
En los últimos meses, las amenazas informáticas han evolucionado y uno de los ejemplos más notables es la aparición de malware diseñado para operar a través de Telegram. Entre estos, destaca una herramienta que está causando especial preocupación entre los analistas de ciberseguridad por su facilidad de uso y eficacia: Raven Stealer.
Este software malicioso, creado específicamente para sistemas Windows, ha puesto en alerta a usuarios y expertos, ya que logra extraer y filtrar información privada sin apenas levantar sospechas, utilizando para ello la propia API de Telegram como canal de comunicación con los atacantes.
¿Cómo funciona Raven Stealer?
Raven Stealer ha sido concebido como un servicio de malware accesible incluso para quienes no poseen formación técnica. Su desarrollador, el grupo conocido como ZeroTrace Team, ofrece el malware empaquetado y listo para ser distribuido desde canales de Telegram y repositorios en GitHub. Al ejecutarse, el programa permanece totalmente oculto: no muestra ventanas, iconos ni ningún tipo de pista visual que pueda alertar a la víctima de su presencia.
Una de las características más peligrosas de Raven Stealer es su capacidad para integrarse con Telegram. Los operadores incrustan directamente sus credenciales (token y chat ID) a través de un generador gráfico, lo que permite que toda la información que recaba el malware se envíe instantáneamente a un chat privado de Telegram.
Métodos de robo de información
Raven Stealer ataca principalmente navegadores basados en Chromium como Chrome, Edge y Brave. Aprovechando técnicas sofisticadas como la inyección de código a través de reflective process hollowing, consigue acceder a contraseñas, cookies, datos de pago y configuraciones de monederos de criptomonedas almacenadas localmente. Todo esto lo logra sin ser detectado, utilizando syscalls directos que evitan los mecanismos habituales de protección.
La información robada es organizada en distintas carpetas —dependiendo del navegador o servicio comprometido— y comprimida en un archivo ZIP, el cual lleva el nombre del usuario afectado. Para maximizar el sigilo, la transferencia final de los datos se realiza mediante el uso de curl.exe, un programa legítimo de Windows, que se encarga de subir el archivo a través de la API de Telegram.
Además de credenciales y datos financieros, Raven Stealer también busca archivos relacionados con criptomonedas, VPN y plataformas de juego, ampliando así su alcance y potencial de daño para la víctima.
Distribución y organización detrás del ataque
El desarrollo y difusión de Raven Stealer no es casualidad. ZeroTrace Team, el colectivo que lo respalda, ha estado activo desde mediados de 2025 y ha ido creando un ecosistema donde comercializa no solo Raven, sino también variantes y otros programas como Octalyn Stealer. Utilizan principalmente canales de Telegram como centro de operaciones, donde ofrecen soporte, actualizaciones y materiales de formación para los compradores de su software.
La elección de Telegram por parte de estos delincuentes no es arbitraria: la plataforma ofrece funciones de cifrado, anonimato y una API muy flexible, lo que reduce la necesidad de montar infraestructuras web propias y dificulta la labor de los investigadores y fuerzas de seguridad.
Técnicas y tácticas empleadas por Raven Stealer
El comportamiento de este malware está alineado con varias tácticas recogidas en el marco MITRE ATT&CK, entre ellas:
- Utilización de archivos comprimidos y empaquetados (UPX) para que el malware pase desapercibido ante los antivirus (T1027).
- Ocultación de ventanas y procesos para trabajar en segundo plano sin mostrar ninguna señal visual (T1564.003).
- Enumeración de procesos y archivos en el sistema en busca de información útil y credenciales (T1057 y T1083).
- Uso del protocolo de capa de aplicación, en este caso la API de Telegram, como canal de comunicación (T1071).
- Persistencia mediante cambios en el sistema, aunque esta funcionalidad aún está siendo estudiada a fondo (T1542.003).
Impacto y recomendaciones de protección
La propagación de herramientas como Raven Stealer, que combinan facilidad de uso, técnicas avanzadas de evasión y canales seguros como Telegram, pone de manifiesto un cambio preocupante en el panorama del malware. La existencia de esta amenaza demuestra que ya no hace falta ser un experto para lanzar campañas de robo de información masivas, lo que multiplica el riesgo incluso para quienes mantienen ciertos hábitos de seguridad.
Los analistas recomiendan a los usuarios y profesionales estar atentos a la presencia de ejecutables comprimidos con UPX, arranques inusuales de navegadores o llamadas sospechosas a la API de Telegram desde scripts o PowerShell, así como vigilar el uso anormal de herramientas legítimas como curl.exe. Para entender mejor cómo funciona esta amenaza y otras técnicas de protección, puedes consultar nuestro tutorial sobre cómo usar Telegram sin número de teléfono.
Las herramientas como Raven Stealer evidencian que la frontera entre el desarrollo tecnológico y el cibercrimen es cada vez más difusa. Lo que se promociona como una “herramienta de entrenamiento” puede en realidad representar un riesgo serio tanto para particulares como para empresas, especialmente cuando se apoya en canales tan extendidos y confiables como Telegram.
