{"id":673,"date":"2026-04-25T09:33:45","date_gmt":"2026-04-25T09:33:45","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/25\/investigadores-descubren-malware-anterior-a-stuxnet-fast16-dirigido-a-software-de-ingenieria-cyberdefensa-mx\/"},"modified":"2026-04-25T09:33:45","modified_gmt":"2026-04-25T09:33:45","slug":"investigadores-descubren-malware-anterior-a-stuxnet-fast16-dirigido-a-software-de-ingenieria-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/25\/investigadores-descubren-malware-anterior-a-stuxnet-fast16-dirigido-a-software-de-ingenieria-cyberdefensa-mx\/","title":{"rendered":"Investigadores descubren malware anterior a Stuxnet ‘fast16’ dirigido a software de ingenier\u00eda \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han descubierto un nuevo malware basado en Lua creado a\u00f1os antes que el notorio gusano Stuxnet que ten\u00eda como objetivo sabotear el programa nuclear de Ir\u00e1n destruyendo centrifugadoras de enriquecimiento de uranio.<\/p>\n

Seg\u00fan un nuevo informe publicado por SentinelOne, el marco de cibersabotaje no documentado anteriormente se remonta a 2005 y apunta principalmente a software de c\u00e1lculo de alta precisi\u00f3n para alterar los resultados. ha sido nombrado en clave r\u00e1pido16<\/strong>.<\/p>\n

\u00abAl combinar esta carga \u00fatil con mecanismos de autopropagaci\u00f3n, los atacantes pretenden producir c\u00e1lculos inexactos equivalentes en toda una instalaci\u00f3n\u00bb, investigadores Vitaly Kamluk y Juan Andr\u00e9s Guerrero-Saade dicho<\/a> en un informe exhaustivo publicado esta semana.<\/p>\n

Se considera que Fast16 es anterior Stuxnet<\/a>la primera arma digital conocida dise\u00f1ada para acciones disruptivas<\/a>y cual sirvi\u00f3 de base<\/a> para el duqu<\/a> rootkit ladr\u00f3n de informaci\u00f3n, por al menos cinco a\u00f1os. Se cree ampliamente que Stuxnet fue desarrollado por Estados Unidos e Israel.<\/p>\n

Tambi\u00e9n precede a las primeras muestras conocidas de Llama<\/a> (tambi\u00e9n conocido como Flamer y Skywiper), otro malware sofisticado descubierto en 2012, que incorpora una m\u00e1quina virtual Lua para lograr sus objetivos. El descubrimiento convierte a fast16 en la primera cepa de malware de Windows que incorpora un motor Lua.<\/p>\n

SentinelOne dijo que hizo el descubrimiento despu\u00e9s de identificar un artefacto llamado \u00absvcmgmt.exe<\/a>\u00bb que, a primera vista, parec\u00eda ser un contenedor de servicio gen\u00e9rico en modo consola. La muestra tiene una marca de tiempo de creaci\u00f3n de archivo del 30 de agosto de 2005, seg\u00fan VirusTotal, en la que se carg\u00f3 m\u00e1s de una d\u00e9cada despu\u00e9s, el 8 de octubre de 2016.<\/p>\n

Sin embargo, una investigaci\u00f3n m\u00e1s profunda ha revelado una m\u00e1quina virtual Lua 5.0 integrada y un contenedor de c\u00f3digo de bytes cifrado, junto con varios otros m\u00f3dulos que se vinculan directamente al sistema de archivos, registro, control de servicios y API de red de Windows NT.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La l\u00f3gica central del implante reside en el c\u00f3digo de bytes Lua, y el binario tambi\u00e9n hace referencia a un controlador del kernel (\u00abfast16.sys<\/a>\u00ab) a trav\u00e9s de una ruta PDB (un archivo con fecha de creaci\u00f3n del 19 de julio de 2005) que es responsable de interceptar y modificar el c\u00f3digo ejecutable a medida que se lee desde el disco. Dicho esto, vale la pena se\u00f1alar que el controlador no se ejecutar\u00e1 en sistemas con Windows 7 o posterior.<\/p>\n

En lo que es un hallazgo que podr\u00eda dar una indicaci\u00f3n de los or\u00edgenes de la herramienta, SentinelOne dijo que descubri\u00f3 una referencia a la cadena \u00abfast16\u00bb en un archivo de texto llamado \u00abdrv_list.txt\u00bb que inclu\u00eda una lista de controladores dise\u00f1ados para su uso en ataques de amenazas persistentes avanzadas (APT). El archivo de casi 250 KB fue filtrado por un misterioso grupo de piratas inform\u00e1ticos hace nueve a\u00f1os.<\/p>\n

En 2016 y 2017, el colectivo \u2013llam\u00e1ndose a s\u00ed mismo Los corredores de la sombra<\/a> \u2013 public\u00f3 grandes cantidades de datos supuestamente robados del Grupo de ecuaciones<\/a>un grupo de amenaza persistente avanzado con presuntos v\u00ednculos con la Agencia de Seguridad Nacional de EE. UU. (NSA). Esto inclu\u00eda un conjunto de herramientas de pirater\u00eda y exploits bajo el sobrenombre de \u00abLost in Translation\u00bb. El archivo de texto<\/a> fue uno de ellos.<\/p>\n

\"\"<\/a><\/div>\n

\u00abLa cadena dentro de svcmgmt.exe proporcion\u00f3 el v\u00ednculo forense clave en esta investigaci\u00f3n\u00bb, dijo SentinelOne. \u00abLa ruta PDB conecta la filtraci\u00f3n de 2017 de firmas de desconflicto utilizadas por los operadores de la NSA con un m\u00f3dulo ‘portador’ multimodal impulsado por Lua compilado en 2005 y, en \u00faltima instancia, su carga \u00fatil sigilosa: un controlador de kernel dise\u00f1ado para sabotaje de precisi\u00f3n\u00bb.<\/p>\n

\u00abSvcmgmt.exe\u00bb ha sido descrito como un \u00abm\u00f3dulo portador altamente adaptable\u00bb que puede alterar su comportamiento en funci\u00f3n de los argumentos de la l\u00ednea de comandos que se le pasan, permiti\u00e9ndole ejecutarse como un servicio de Windows o ejecutar c\u00f3digo Lua. Viene con tres cargas \u00fatiles distintas: c\u00f3digo de bytes Lua para manejar la configuraci\u00f3n y la l\u00f3gica de propagaci\u00f3n y coordinaci\u00f3n, un ConnotifyDLL auxiliar (\u00absvcmgmt.dll<\/a>\u00ab) y el controlador del n\u00facleo \u00abfast16.sys\u00bb.<\/p>\n

Espec\u00edficamente, est\u00e1 dise\u00f1ado para analizar la configuraci\u00f3n, escalarse como un servicio, implementar opcionalmente el implante del kernel e iniciar un Administrador de control de servicios (SCM<\/a>) wormlet que busca servidores de red y propaga el malware a otros entornos Windows 2000\/XP con credenciales d\u00e9biles o predeterminadas.<\/p>\n

Un aspecto importante que vale la pena mencionar aqu\u00ed es que la propagaci\u00f3n solo ocurre cuando se fuerza manualmente o no se encuentran productos de seguridad comunes en el sistema al escanear la base de datos del Registro de Windows en busca de claves de registro asociadas. Algunas de las herramientas de seguridad que verifica expl\u00edcitamente pertenecen a Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies y Trend Micro.<\/p>\n

La presencia de Sygate Technologies es otro indicador de que la muestra se desarroll\u00f3 a mediados de la d\u00e9cada de 2000, cuando la empresa fue adquirida por Symantec, ahora parte de Broadcom, en agosto de 2025, y las ventas y el soporte para sus productos se suspendieron formalmente en noviembre.<\/p>\n

\u00abPara herramientas de esta \u00e9poca, ese nivel de conciencia ambiental es notable\u00bb, dijo SentinelOne. \u00abSi bien la lista de productos puede no parecer completa, probablemente refleja los productos que los operadores esperaban que estuvieran presentes en sus redes objetivo cuya tecnolog\u00eda de detecci\u00f3n amenazar\u00eda el sigilo de una operaci\u00f3n encubierta\u00bb.<\/p>\n

ConnotifyDLL, por otro lado, se invoca cada vez que el sistema establece una nueva conexi\u00f3n de red utilizando el Servicio de acceso remoto (RAS<\/a>) y escribe los nombres de las conexiones locales y remotas en un tuber\u00eda con nombre<\/a> (\u00ab\\\\.\\pipe\\p577\u00bb).<\/p>\n

Sin embargo, es el controlador el responsable del sabotaje de precisi\u00f3n, dirigido a ejecutables compilados con el compilador Intel C\/C++ para realizar parches basados \u200b\u200ben reglas y secuestrar el flujo de ejecuci\u00f3n mediante inyecciones de c\u00f3digo malicioso. Uno de esos bloques es capaz de corromper los c\u00e1lculos matem\u00e1ticos, espec\u00edficamente atacando herramientas utilizadas en ingenier\u00eda civil, f\u00edsica y simulaciones de procesos f\u00edsicos.<\/p>\n

\u00abAl introducir errores peque\u00f1os pero sistem\u00e1ticos en los c\u00e1lculos del mundo f\u00edsico, el marco podr\u00eda socavar o ralentizar los programas de investigaci\u00f3n cient\u00edfica, degradar los sistemas dise\u00f1ados con el tiempo o incluso contribuir a da\u00f1os catastr\u00f3ficos\u00bb, explic\u00f3 SentinelOne.<\/p>\n

\u00abAl separar un contenedor de ejecuci\u00f3n relativamente estable de cargas \u00fatiles cifradas y espec\u00edficas de tareas, los desarrolladores crearon un marco reutilizable y compartimentado que pod\u00edan adaptar a diferentes entornos objetivo y objetivos operativos, dejando el binario del operador externo pr\u00e1cticamente sin cambios en todas las campa\u00f1as\u00bb.<\/p>\n

Basado en un an\u00e1lisis de las 101 reglas definidas en el motor de parches y compar\u00e1ndolas con el software utilizado a mediados de la d\u00e9cada de 2000, se eval\u00faa que tres conjuntos de ingenier\u00eda y simulaci\u00f3n de alta precisi\u00f3n pueden haber sido los objetivos: LS-DYNA 970, PKPM y la plataforma de modelado hidrodin\u00e1mico MOHID.<\/p>\n

LS-DYNA<\/a>que ahora forma parte de Ansys Suite, es un paquete de software de simulaci\u00f3n de f\u00edsica m\u00faltiple de uso general que se utiliza para simular choques, impactos y explosiones. En septiembre de 2024, el Instituto para la Ciencia y la Seguridad Internacional (ISIS) liberado<\/a> un informe que detalla el probable uso por parte de Ir\u00e1n de software de modelado inform\u00e1tico como LS-DYNA relacionado con el desarrollo de armas nucleares basado en un examen de 157 publicaciones acad\u00e9micas encontradas en literatura cient\u00edfica y de ingenier\u00eda de c\u00f3digo abierto.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Esta cadena de pruebas adquiere importancia teniendo en cuenta que se dice que el programa nuclear de Ir\u00e1n ha sufrido da\u00f1o sustancial<\/a> despu\u00e9s de que su instalaci\u00f3n de enriquecimiento de uranio en Natanz fuera atacada por el gusano stuxnet<\/a> en junio de 2010. Es m\u00e1s, Symantec revel\u00f3 en febrero de 2013 una versi\u00f3n anterior de Student que se utiliz\u00f3 para atacar el programa nuclear de Ir\u00e1n en noviembre de 2007, con evidencia que indicaba que ya estaba en desarrollo en noviembre de 2005.<\/p>\n

\u00abStuxnet 0.5 es la versi\u00f3n de Stuxnet m\u00e1s antigua conocida que se analizar\u00e1\u00bb, Symantec anotado<\/a> En el momento. \u00abStuxnet 0.5 contiene una estrategia de ataque alternativa, cerrando v\u00e1lvulas dentro de la instalaci\u00f3n de enriquecimiento de uranio en Natanz, Ir\u00e1n, lo que habr\u00eda causado graves da\u00f1os a las centrifugadoras y al sistema de enriquecimiento de uranio en su conjunto\u00bb.<\/p>\n

En conjunto, el \u00faltimo hallazgo \u00abobliga a una reevaluaci\u00f3n\u00bb del cronograma hist\u00f3rico de desarrollo de las operaciones clandestinas de sabotaje cibern\u00e9tico, dijo SentinelOne, a\u00f1adiendo que muestra que las herramientas de sabotaje cibern\u00e9tico respaldadas por el Estado contra objetivos f\u00edsicos se hab\u00edan desarrollado y desplegado por completo a mediados de la d\u00e9cada de 2000.<\/p>\n

\u00abEn el panorama m\u00e1s amplio de la evoluci\u00f3n de APT, fast16 cierra la brecha entre los primeros programas de desarrollo, en gran medida invisibles, y los conjuntos de herramientas posteriores, m\u00e1s ampliamente documentados, basados \u200b\u200ben Lua y LuaJIT\u00bb, concluyeron los investigadores. \u00abEs un punto de referencia para comprender c\u00f3mo piensan los actores avanzados sobre los implantes a largo plazo, el sabotaje y la capacidad de un estado para remodelar el mundo f\u00edsico a trav\u00e9s del software. fast16 fue el presagio silencioso de una nueva forma de arte de gobernar, exitosa en su encubrimiento hasta hoy\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han descubierto un nuevo malware basado en Lua creado a\u00f1os antes que el notorio gusano Stuxnet que ten\u00eda como objetivo sabotear el programa nuclear de Ir\u00e1n destruyendo centrifugadoras de enriquecimiento de uranio. Seg\u00fan un nuevo informe publicado por SentinelOne, el marco de cibersabotaje no documentado anteriormente se remonta a 2005 y apunta […]<\/p>\n","protected":false},"author":1,"featured_media":589,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[2102,24,394,1666,2104,1534,80,60,498,2103],"class_list":["post-673","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-anterior","tag-cyberdefensa-mx","tag-descubren","tag-dirigido","tag-fast16","tag-ingenieria","tag-investigadores","tag-malware","tag-software","tag-stuxnet"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=673"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/673\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/589"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}