El troyano VENON para ataques bancarios en América Latina reescrito en Rust con IA

Los investigadores han descrito un nuevo troyano bancario VENON que ataca a usuarios de Windows e imita el comportamiento del malware latinoamericano conocido. La principal diferencia es que el malware está escrito en Rust, y su estructura, según analistas, indica el uso activo de IA generativa en el desarrollo.

Por Qué Esto Es Inusual

Para el segmento de troyanos bancarios latinoamericanos, este enfoque es atípico. La región ha estado dominada durante mucho tiempo por familias como Grandoreiro, Mekotio y Coyote, típicamente escritas en Delphi. VENON, sin embargo, reproduce su lógica clave: monitorea ventanas activas, reemplaza la interfaz de usuario de páginas bancarias e intercepta accesos directos de Windows.

Esencialmente, los atacantes no inventaron un nuevo mecanismo de ataque, sino que tomaron un modelo familiar y lo trasladaron a una pila tecnológica diferente. Es precisamente la elección de Rust la que hace que esta historia sea notable. Este lenguaje requiere una competencia técnica más alta que un constructor de malware típico o un ensamblaje rápido con herramientas familiares.

Los investigadores creen que el autor del malware entendía cómo funcionan los ataques bancarios locales, pero se basó en IA generativa para recrear y expandir este conjunto de funciones en Rust. Esto ya no es simplemente copiar el código de otra persona, sino una nueva forma de ensamblar rápidamente herramientas maliciosas maduras a partir de patrones familiares.

Cómo Funciona VENON

El esquema de infección de VENON es multi-etapa. Según los investigadores, el malware se ejecuta a través de carga lateral de DLL y puede entregarse a las víctimas mediante un archivo ZIP y script de PowerShell. También se menciona la técnica ClickFix, donde los usuarios son socialmente dirigidos a lanzar la cadena maliciosa ellos mismos. Después de que se inicia la DLL, no se apresura a manifestarse: primero verifica el entorno e intenta verificar que no ha aterrizando en un sandbox o bajo la observación de herramientas de seguridad.

• Comprueba si la muestra se está ejecutando en un entorno virtual
• Utiliza llamadas al sistema indirectas para ocultar la actividad
• Intenta eludir ETW y AMSI antes de ejecutar la carga útil
• Carga la configuración desde Google Cloud Storage y crea una tarea en el programador
• Abre una conexión WebSocket con el servidor de comandos

A continuación, el malware pasa a la actividad dirigida. Se inyectan dos scripts de Visual Basic desde la DLL para interceptar accesos directos de sistema de Windows; el informe indica que se dirigen a la aplicación bancaria Itaú. Simultáneamente, VENON monitorea los títulos de ventanas del navegador y los dominios activos.

Si un usuario abre uno de los servicios de interés, el troyano superpone una capa falsa en la pantalla e intercepta las credenciales. La lista de objetivos incluye 33 organizaciones financieras y plataformas de criptomonedas. Otro detalle es un mecanismo de reversión integrado.

Después de reemplazar los accesos directos, el malware puede restaurarlos a su estado original, presumiblemente para ocultar el rastro del ataque. Esto no hace que VENON sea un avance tecnológico, pero muestra que el autor pensó no solo en el robo de datos, sino también en ocultar las pruebas después de la operación. Este conjunto de técnicas hace que la campaña sea más resistente: una víctima puede no entender inmediatamente que su inicio de sesión en un banco o servicio de criptomonedas ocurrió a través de una interfaz falsificada.

Por Qué Se Sospecha IA Generativa

La hipótesis de IA generativa no surgió de un único marcador obvio, sino de la estructura general del proyecto. Los analistas de ZenoX creen que el desarrollador claramente modeló troyanos bancarios regionales conocidos, pero utilizó IA para trasladar esta lógica a Rust y expandir la funcionalidad. En otras palabras, el autor no era un principiante completo, pero parte del trabajo de ingeniería podría haber sido acelerado a través de LLMs y lo que se llama vibe coding.

Vincular VENON a un grupo específico de ciberdelincuentes aún no ha sido posible. En una muestra temprana fechada en enero de 2026, los investigadores encontraron un artefacto con el nombre de usuario byst4, pero esto es insuficiente para una atribución segura. Para el mercado de ciberseguridad, una conclusión diferente es más importante: los modelos generativos ya están ayudando no solo a escribir utilidades y prototipos inofensivos, sino también a empaquetar la lógica maliciosa en una pila más moderna y menos familiar para los analistas.

Lo Que Significa

La historia de VENON muestra que la IA reduce la barrera de entrada incluso para proyectos de malware complejos, pero no elimina la necesidad de conocimiento de tácticas de ataque. Para los defensores, esta es una señal para fortalecer el análisis del comportamiento, prestar más atención a los componentes de Rust y tener en cuenta que la próxima ola de troyanos bancarios puede ensamblarse más rápido de lo que se actualizan las firmas clásicas.