MONOLOCK: El nuevo grupo de ransomware «silencioso» que rechaza los sitios de filtraciones y los paneles de afiliados

Luca Stivali : 21 noviembre 2025 08:57

El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionales, infiltraciones, filtraciones deliberadas y colapsos operativos.

Tras años dominados por modelos casi industriales —paneles de afiliados, sitios de filtraciones, chats públicos y marketing agresivo— están surgiendo grupos que rechazan la lógica al estilo LockBit y se decantan por un enfoque más opaco, minimalista, casi propio de un operador de inteligencia de señales (SIGINT). Discretos , técnicos y casi profesionales, adoptan estrategias de invisibilidad operativa .

El caso más reciente es MONOLOCK , un nuevo grupo de ransomware que apareció en DarkForums el 19 de octubre de 2025 con un manifiesto que parece más propio de un equipo rojo de alto nivel que de un ciberdelincuente tradicional.

Su presentación es inusual y, sobre todo, mucho más técnica que la de un grupo emergente promedio. Los detalles que ofrecen merecen un análisis exhaustivo.

Un grupo apolítico, técnico y orientado a la seguridad operativa (OPSEC).

MONOLOCK se define como una organización apolítica especializada en el desarrollo de kits de herramientas para campañas de ransomware totalmente automatizadas , con una estructura modular basada en BOF (Beacon Object File) y cargas útiles cargadas directamente en la memoria.

Hasta ahora, podría parecer un grupo más. Pero el punto de inflexión llega cuando declara lo que no hará:

• No hay fuga
• Sin panel de afiliados
• No se permite la exhibición pública de las víctimas
• No se permite el alojamiento de desarrolladores ni descifradores mediante servidores dedicados.

¿La razón? Su prioridad es la seguridad operativa, tanto la suya como la de sus afiliados. Critican abiertamente los sitios de filtraciones: según MONOLOCK, publicar los nombres de las víctimas reduce la probabilidad de pago, destruye su reputación incluso si se paga un rescate y atrae excesiva atención de las fuerzas del orden. Es una estrategia poco intuitiva y, precisamente por eso, mucho más sofisticada.

Su arsenal: módulos BOF y componentes avanzados

MONOLOCK incluye un conjunto completo de módulos, todos construidos como BOF (Beacon Object File) , la tecnología nativa de Cobalt Strike para ejecutar código directamente en la memoria sin necesidad de copiar archivos.

• Escalada de privilegios : Técnicas sin registro, sin LOLBins, evitando patrones detectables por los EDR.
• Borrado de copia de sombra : Eliminación de VSS para evitar cualquier intento de recuperación local.
• Antianálisis : Incluye comprobaciones avanzadas para: depurador, hipervisor, anomalías de sincronización, procesos sospechosos y variaciones cíclicas de la CPU. Estos son detalles que suelen manejar desarrolladores de malware experimentados, no principiantes.
• Persistencia : tareas programadas con privilegios de SYSTEM y activadores personalizados.
• Motor de exfiltración MonoSteal : Este es uno de los módulos más importantes, ya que garantiza una exfiltración acelerada, compresión en tiempo real, E/S asíncrona y velocidades de hasta 45 MB/s . Se trata de un valor muy alto, comparable —como ellos mismos afirman— al de StealBit de LockBit. Resulta notable, teniendo en cuenta que los exfiltradores basados en RClone rara vez superan los 5-10 MB/s en enlaces reales.
• MonoLock | Locker : El ransomware propiamente dicho, basado en un algoritmo híbrido ChaCha20–Salsa20 con cifrado asíncrono de hasta 276 MB/s (según afirman).
• MonoLock | Decrypt : Un descifrador controlado por una clave privada codificada en hexadecimal. Esto reduce drásticamente el riesgo de bifurcaciones o copias no autorizadas. Es casi como un sistema de «ransomware especializado».

Sin puntos de fuga, sin paneles: una estrategia quirúrgica

A la pregunta: «¿Tienes un sitio TOR? ¿Ya has tenido víctimas?»
Responden de la siguiente manera:

“Alojando actualizaciones sobre extorsión se añade un peso innecesario.
Queremos dar a las empresas la capacidad de recuperar sus datos y su reputación .”

Y sobre todo:

Un panel de afiliados expone a creadores, descifradores, bases de datos de afiliados y claves. El FBI, los CERT y los investigadores adoran estas infraestructuras. No queremos convertirlas en un blanco fácil.

Es casi una filosofía de la «inteligencia».
Sus publicaciones revelan una conciencia poco común: entienden por qué fracasaron las grandes empresas de RaaS. Y no quieren cometer los mismos errores.

Reclutamiento y IAB: MONOLOCK entra en la fase operativa

MONOLOCK busca:

• Afiliados con experiencia: Operadores capaces de navegar por Active Directory
• agentes de acceso inicial (IAB)
• desarrollo de malware

Y sobre todo: “No aceptamos script kiddies”. Un mensaje diseñado para filtrar a los afiliados no preparados, una estrategia también utilizada por grupos como Muliaka y las antiguas cuentas de Team Two.

Cuota inicial: $500
Participación en los ingresos: 20% fijo

Nivel técnico: muy superior a la media de los grupos emergentes

Los desarrolladores de los módulos BOF poseen habilidades avanzadas:

• profundo conocimiento de las API de Windows
• Equipo rojo
• uso avanzado de C2
• OPSEC
• diseño modular sin archivos

Es probable que el equipo provenga de:

• entornos de pruebas de penetración
• grupos desertaron de otros RaaS
• antiguos desarrolladores de cargadores privados
• Cobalt Strike / Ecosistemas de plata

Evasión de EDR: La filosofía MONOLOCK

Uno de los pasajes más interesantes —y raros— en la comunicación de MONOLOCK se refiere al tema de la evasión de los EDR .
A diferencia de muchos grupos de RaaS que se jactan de una “UD total”, MONOLOCK aborda el tema de una manera técnica, casi profesional, reconociendo las limitaciones, la cadena de ejecución y las debilidades.

En su publicación afirman:

“Nuestros implantes superan a los sistemas EDR; hemos probado la detección de endpoints de Windows Defender, SentinelOne, Crowdstrike y todos los antivirus comerciales.”

Una afirmación contundente, pero inmediatamente acompañada de una explicación inusual por su transparencia y precisión técnica.

Inmediatamente después, de hecho, especifican:

«Dado que utilizamos el formato de implante BoF, la ejecución de nuestros implantes se basa en la conexión C2, lo que significa que si se detecta el shellcode, no hay ningún canal a través del cual se carguen los implantes . Ofrecemos un cargador de shellcode […] precisamente para mitigar esto.»

Esta frase es crucial.
MONOLOCK afirma explícitamente que:

• Su capacidad de sigilo no depende de módulos BOF , que se ejecutan en memoria y eluden eficazmente muchas técnicas EDR.
• El verdadero punto de detección es el cargador , es decir, el shellcode que establece la conexión inicial con el servidor de comando y control (C2).

Y añaden:

“En resumen, si el C2 consigue una conexión, los implantes funcionarán pase lo que pase .”

En otras palabras: si el cargador logra pasar aunque sea una sola vez, la baliza cargará los BOF y toda la cadena de herramientas se volverá extremadamente difícil de detectar.

Sin garantía de indetectabilidad: un enfoque inusualmente realista

Y aquí viene la parte más sorprendente —y en cierto modo, profesional—. Cuando se les pregunta por qué no anuncian su conjunto de herramientas como «indetectables», responden:

“¿Por qué no mencionamos explícitamente el estado ‘UD’? Seamos claros: utilizar UD es una expresión vaga… que en última instancia se reduce a la infraestructura de cada empresa.”

En resumen:

• No prometen ser totalmente indetectables.
• No promueven publicidad engañosa.
• No utilizan los eslóganes típicos de RaaS (“100% indetectable”).
• Reconocen que la detección depende de la infraestructura de la víctima.
• Confirman que la batalla técnica se libra en la cargadora, no en los BOF.

Este nivel de autoconciencia es muy poco común en los grupos emergentes.

¿Por qué MONOLOCK es extremadamente peligroso?

• Los ataques son mucho más difíciles de detectar: los BOF reducen la superficie detectable para EDR/XDR. Afirman poder eludir: Defender, SentinelOne y CrowdStrike .
• Sin un lugar donde se produzca la fuga: las víctimas pierden las “señales externas”, los investigadores no tienen visibilidad, aumenta la incertidumbre y, por lo tanto , aumenta la probabilidad de indemnización .
• Exfiltración ultrarrápida: 45 MB/s significa que pueden robar decenas de GB en minutos.
• Taquilla de alto rendimiento : En los servidores modernos, ChaCha20/Salsa20 es una opción perfecta para la velocidad y el sigilo.
• Seguridad operativa superior a la media: sin Tor, sin paneles, sin centralización. Un modelo mucho más resistente.

MONOLOCK no es un simple clon de ransomware. Es una evolución del modelo, una forma de ransomware más silenciosa, profesional, descentralizada y técnica.

Es el arquetipo del “ransomware boutique”: equipo pequeño, código avanzado, mínima visibilidad, máxima eficiencia.

Prevemos que las primeras campañas reales surgirán pronto, probablemente a través de intermediarios de acceso inicial que ya operan en el mercado occidental. Y cuando comiencen, no será fácil detectarlas.

Paquete completo CTI

( Perfil del actor , MITER ATT&CK, TTP previstas, COI )

Perfil del actor – MONOLOCK

• Tipo: Ransomware como kit de herramientas (RAaT)
• Modelo: Sin fugas, sin panel
• Nivel de habilidad: Medio-alto
• Tecnología: BOF, cargador sin archivos, C2 basado en balizas
• Origen probable: Europa del Este (especulación basada en el lenguaje y los patrones)
• Público objetivo: empresas con infraestructuras de Active Directory, entornos corporativos y administración pública.

MITRE ATT&CK (Pronóstico TTP)

• Acceso inicial
  • T1078 – Cuentas válidas
  • T1190 – Explotación de vulnerabilidades (vía IAB)
• Ejecución
  • T1047 – WMI
  • T1620 – Carga de código reflectivo / Ejecución BOF
• Escalada de privilegios
  • T1548 – Abuso de tokens
  • T1068 – Explotación para PrivEsc
• Persistencia
  • T1053.005 – Sistema de tareas programadas
• Evasión defensiva
  • T1027 – Ofuscación
  • T1497 – Evasión en el arenero
  • T1070.006 – Eliminación de copias de sombra
  • T1112 – Evitación de modificaciones de defensa
• Acceso a credenciales
  • T1003 – Volcado LSASS (probablemente BOF dedicado)
• Movimiento lateral
  • T1021 – SMB/RDP
  • T1087 – Enumeración AD
• Exfiltración
  • T1041 – Exfiltración vía C2
  • T1567.002 – Exfil Comprimido
• Impacto
  • T1490 – Detener recuperación
  • T1486 – Cifrado de datos

IOCs (de comportamiento, no hash)

• Procesos anormales
  • tasksche.exe → tareas programadas con nivel elevado
  • procesos con cargador reflectivo de inyección
  • Hilos de alta velocidad en procesos estándar (por ejemplo, svchost)
• Red
  • Conexiones cortas e intermitentes a VPS en el extranjero
  • patrones de tráfico comprimidos y fragmentados
• Sistema de archivos
  • cancelación repentina del VSS
  • actividad en la ruta personalizada de la nota de rescate

Luca Stivali
Entusiasta de la ciberseguridad y empresario en el sector de las TI desde hace 25 años, experto en diseño de redes y gestión de sistemas informáticos complejos. Pasión por un enfoque proactivo de la ciberseguridad: entender cómo y de qué protegerse es crucial.

Lista degli articoli