Se está utilizando un instalador falso de OpenClaw para ofrecer un marco de robo de información basado en Rust que apunta a billeteras criptográficas, administradores de contraseñas, datos del navegador y archivos Ledger Live. La campaña se hace pasar por OpenClaw, el popular asistente personal de inteligencia artificial de código abierto, y engaña a los usuarios para que descarguen un instalador malicioso de Windows.
Seguimientos de Netskope Threat Labsla nueva ola como Holograma. La compañía dice que el malware puede robar datos de más de 250 extensiones del navegador, incluidas extensiones de billetera criptográfica, administradores de contraseñas y herramientas de autenticación.
La campaña ha evolucionado en múltiples oleadas desde al menos febrero de 2026. Actividad anterior documentada porHuntress utilizó un repositorio falso de OpenClaws para ofrecer Vidar, PureLogs y GhostSocks, mientras que las ondas más nuevas Hologram y Pathfinder agregaron más malware modular, evasión más fuerte e infraestructura rotativa.
Cómo llega el instalador falso a las víctimas
El ataque comienza con un sitio web falso en openclaw-installer.com. El sitio imita una página de instalación legítima de OpenClaw y dirige a los visitantes a un archivo llamado OpenClaw_x64.7z.
Dentro de ese archivo hay un gran ejecutable compilado por Rust llamado OpenClaw_x64.exe. Netskope dice que la versión Hologram pesa aproximadamente 130 MB, con documentación falsa rellenando el archivo para que parezca más convincente y para evitar algunos límites de escaneo automatizado.
El archivo también muestra un instalador gráfico y solicita la aprobación del administrador. Eso ayuda a que el malware parezca un software de instalación normal mientras prepara la siguiente etapa del ataque.
De un vistazo
| Detalle | Información |
|---|---|
| Tema de campaña | Instalador falso de OpenClaw |
| Ola principal de malware | holograma |
| Ola posterior | Pionero |
| archivo de instalación | OpenClaw_x64.7z y OpenClaw_x64.exe |
| Objetivo principal | Robo de credenciales y robo de billeteras criptográficas |
| Extensiones dirigidas | Más de 250 extensiones de billetera criptográfica, administrador de contraseñas y autenticador |
| Servicios abusados | Puntos muertos estilo Azure DevOps, Telegram, Hookdeck, GitHub y Pastebin |
| Evasión notable | Archivos de gran tamaño, comprobaciones anti-VM, puerta de movimiento del mouse e infraestructura dinámica |
El malware espera a un usuario real
Antes de que se ejecute la carga útil principal, Hologram verifica si está dentro de una máquina virtual o una zona de pruebas de análisis. Analiza cadenas de BIOS, archivos relacionados con la zona de pruebas, detalles de hardware, recuentos de procesos, RAM, tamaño del disco, resolución de pantalla y otras señales.
El malware también espera el movimiento del mouse antes de continuar. Esto es importante porque muchos entornos limitados automatizados ejecutan muestras sin la participación real del usuario, por lo que el malware puede permanecer silencioso durante el análisis.
Una vez que se pasan esas comprobaciones, el cuentagotas inicia una etapa de PowerShell ofuscada. Netskope dice que esta etapa deshabilita partes de Microsoft Defender, abre reglas de firewall en puertos específicos y prepara el sistema para seis componentes de la segunda etapa.
Lo que roba el malware
El objetivo principal son los datos almacenados del usuario. El malware puede atacar extensiones de navegador conectadas a billeteras criptográficas, administradores de contraseñas y aplicaciones de autenticación.
Netskope dice que la lista de objetivos incluye 201extensiones de billetera criptográfica y 49 extensiones de administrador o autenticador de contraseñas. La lista se almacena de forma remota en un repositorio Azure DevOps controlado por el atacante, lo que significa que los atacantes pueden actualizar los objetivos sin cambiar el binario principal del malware.
La campaña también apunta a los datos de Ledger Live en el sistema de archivos. Eso le da al atacante otra ruta hacia la información relacionada con la billetera fuera de la lista de extensiones del navegador.
Ejemplos de datos específicos
- Datos de la extensión del navegador Crypto Wallet
- Datos de extensión del administrador de contraseñas
- Datos de extensión del autenticador
- Cookies del navegador y credenciales almacenadas
- Archivos de contabilidad en vivo
- Huellas digitales del sistema
- Telemetría de víctimas, como nombres de usuario, direcciones IP y marcas de tiempo.
Por qué la campaña es difícil de bloquear
Los atacantes no dependen de un simple dominio de comando y control. Netskope dice que el malware puede recuperar detalles de la infraestructura de las descripciones de los canales de Telegram y otras ubicaciones sin salida.
La telemetría de las víctimas también se mueve a través de Hookdeck, un servicio legítimo de retransmisión de webhooks. Esto ayuda a ocultar el backend del atacante porque es posible que los defensores solo vean el tráfico a servicios confiables en lugar de una conexión directa a la infraestructura del operador final.
Durante el análisis, el operador rotó la infraestructura en varias capas. Netskope informó cambios en los dominios C2 primarios y secundarios, puntos muertos de Telegram, ubicaciones basadas en Pastebin o fragmentos y etiquetas de campaña.
La actividad antigua del malware OpenClaw añade contexto
Cazadora previamente documentadainstaladores falsos de OpenClaw en febrero de 2026. Esa actividad anterior utilizó malwareRepositorios de GitHub haciéndose pasar por OpenClawinstaladores y ladrones de información entregados junto con GhostSocks.
GhostSocks es importante porque puede convertir el dispositivo de la víctima en un proxy. Eso puede ayudar a los atacantes a utilizar credenciales robadas de la propia red de la víctima, lo que puede reducir las alertas de fraude y hacer que los inicios de sesión no autorizados parezcan más legítimos.
La nueva actividad de Holograma muestra un desarrollo más rápido. Netskope dice que el marco posterior agregó inyección CLR a través de clróxido, carga reflectante de PE, un secuestro de WinLogon Userinit, secuestro de COM, persistencia de tareas programadas e inyección directa de subprocesos de llamada al sistema NT.
Qué deben hacer los usuarios
- Descargue OpenClaw únicamente desde el sitio web oficial de OpenClaw o la organización oficial de GitHub.
- Evite enlaces de instaladores promocionados por resultados de búsqueda, foros, publicaciones sociales o repositorios de GitHub desconocidos.
- No ejecute archivos de instalación de gran tamaño de fuentes no oficiales.
- Verifique el editor, el propietario del repositorio, el historial de versiones y la actividad de la comunidad antes de instalar herramientas de código abierto.
- Mueva los criptoactivos a una billetera limpia si se ejecutó un instalador sospechoso.
- Rotar las contraseñas almacenadas en extensiones del navegador o administradores de contraseñas después de una posible exposición.
- Revocar sesiones activas sospechosas de correo electrónico, intercambios de cifrado, servicios en la nube y cuentas de desarrollador.
- Escanee el dispositivo desde un entorno de seguridad confiable antes de usarlo nuevamente para cuentas financieras.
Qué deben vigilar los equipos de seguridad
Bloquear un dominio no será suficiente para esta campaña porque los operadores pueden rotar la infraestructura sin reconstruir el malware. Los defensores deben centrarse en un comportamiento que se mantenga constante en todas las oleadas.
Los signos útiles incluyen archivos de instalación inusualmente grandes, PowerShell iniciado por un binario recién eliminado, nombres de comandos de PowerShell fragmentados, cambios en la configuración de Defender, nuevas reglas de firewall entrantes y procesos que no son de desarrollo que se conectan a Azure DevOps.
Los equipos de seguridad también deben monitorear el tráfico saliente a las API de Telegram, los dominios de retransmisión de webhooks estilo Hookdeck y los dominios de instalación sospechosos. Las conexiones de procesos de terminales que normalmente no utilizan estos servicios merecen una revisión adicional.
Resumen
- Un instalador falso de OpenClaw entrega malware de robo de información basado en Rust.
- La ola Hologram se dirige a más de 250 extensiones de billetera criptográfica, administrador de contraseñas y autenticador.
- El malware utiliza controles anti-VM, una puerta de movimiento del mouse, PowerShell y cargas útiles modulares de segunda etapa.
- Los atacantes abusan de servicios confiables como Azure DevOps, Telegram, Hookdeck y GitHub para respaldar la campaña.
- Los usuarios deben evitar los instaladores no oficiales de OpenClaw y rotar las credenciales confidenciales si ejecutaron un instalador sospechoso.
Preguntas frecuentes
¿Qué es la campaña del instalador falso de OpenClaw?
Es una campaña de malware que se hace pasar por OpenClaw y engaña a los usuarios para que ejecuten un instalador de Windows malicioso. El instalador ofrece malware de robo de información centrado en credenciales, billeteras criptográficas y datos del administrador de contraseñas.
¿Qué extensiones del navegador están en riesgo?
La campaña está dirigida a carteras criptográficas, administradores de contraseñas y extensiones de autenticación. Netskope dice que la lista de objetivos remotos cubre más de 250 extensiones, incluidas 201 billeteras criptográficas y 49 herramientas de autenticación o administrador de contraseñas.
¿Qué es el malware de holograma?
Hologram es un cuentagotas basado en Rust que se utiliza en la nueva ola de instaladores falsos de OpenClaw. Comprueba si hay zonas de pruebas, espera el movimiento del mouse, desactiva las defensas y carga varios componentes de la segunda etapa.
¿Es el propio OpenClaw malware?
No. La campaña abusa del nombre y la popularidad de OpenClaw. Los usuarios deben descargar OpenClaw sólo desde fuentes oficiales de OpenClaw y evitar sitios web de instaladores no relacionados o repositorios imitadores.