Hackers vietnamitas usan avisos de derechos de autor falsos para difundir información de Lone None Stealer

Un grupo de piratas informáticos vietnamita conocido como Lone None está ejecutando una campaña de estafa en línea que ha estado activa desde al menos noviembre de 2024. La campaña se centra en robar información personal y financiera, especialmente criptomonedas.

La firma de investigación de ciberseguridad Cofense Intelligence ha estado rastreando los movimientos de este actor de amenazas y ha compartido su análisis con Hackread.com.

Los ataques comienzan con un correo electrónico falso con un aviso legal oficial de diferentes firmas de abogados de todo el mundo, que le dice al destinatario que elimine el contenido con derechos de autor de su sitio web o redes sociales, a veces incluso nombrando la cuenta real de Facebook del destinatario.

Estos mensajes se envían en unos diez idiomas diferentes, incluyendo inglés, francés, alemán y chino, lo que sugiere que los delincuentes buscan ampliar su alcance. Los correos electrónicos contienen un enlace que, al hacer clic, lleva a un archivo descargable (como un archivo ZIP). Este archivo contiene el malware, camuflado ingeniosamente en documentos probatorios como archivos PDF o PNG.

Para ejecutar el malware, los atacantes utilizan la carga lateral de DLL , lo que les permite abusar de un programa legítimo y firmado (como un ejecutable confiable de Microsoft Word o un lector de PDF) para ejecutar en secreto su código malicioso y eludir los controles de seguridad estándar.

La campaña ofrece dos tipos de ladrones de información: Pure Logs Stealer y el más reciente Lone None Stealer (también conocido como PXA Stealer). Pure Logs roba una amplia gama de datos confidenciales, como contraseñas, números de tarjetas de crédito, cookies de sesión y archivos de billeteras criptográficas locales guardados en los navegadores y ordenadores de la víctima.

Sin embargo, The Lone None Stealer se centra en robar criptomonedas . Monitorea el portapapeles de la víctima (el lugar donde se almacena temporalmente el texto copiado) y, si se copia la dirección de una billetera de criptomonedas, el malware la reemplaza discretamente con la dirección del delincuente. Esto significa que si una víctima intenta enviar dinero copiando y pegando la dirección de una billetera, los fondos van directamente al hacker.

En su publicación de blog , Cofense Intelligence señaló que Lone None Stealer se ha encontrado en casi un tercio (29%) de todos los informes recientes que involucran al antiguo Pure Logs Stealer desde junio de 2025, lo que indica su uso creciente.

Esta estafa consiste en una técnica de preparación única: el atacante oculta la dirección del siguiente paso del ataque en la página de perfil de un bot de Telegram . Además, Lone None Stealer utiliza la red de Telegram como su canal principal de Comando y Control (C2), enviando rápidamente todos los datos recopilados a los hackers.

Dado que esta estafa se aprovecha directamente del miedo a una disputa legal urgente, es importante reconocer las señales de un correo electrónico falso. Nunca haga clic en enlaces ni descargue archivos de fuentes inesperadas, ya que esta simple precaución sigue siendo la mejor protección contra este tipo de estafas.