La empresa rusa Solar publicó un nuevo informe técnico sobre ClayRat, un malware para Android clasificado como spyware y RAT que combina capacidades avanzadas de espionaje con control remoto total del dispositivo.

Aunque investigaciones previas de firmas como Zimperium ya habían analizado su funcionamiento y su propagación masiva, este nuevo reporte pone el foco en un aspecto menos explorado, como su infraestructura backend y los errores estructurales que terminaron debilitando toda la operación.

Un spyware completo, pensado para vigilancia total

ClayRat fue diseñado para operar como una plataforma de espionaje móvil altamente invasiva. Entre sus capacidades principales se incluyen:

• Intercepción de SMS y registros de llamadas

• Acceso a contactos y notificaciones

• Captura de fotos y grabación de pantalla

• Ejecución de comandos remotos desde servidores C2

Estas funcionalidades coinciden con lo observado en investigaciones independientes, que lo describen como una herramienta modular de vigilancia y robo de datos con control persistente del dispositivo

Su distribución se apoyó principalmente en phishing y aplicaciones falsas que imitaban servicios populares, una técnica que sigue siendo altamente efectiva en entornos móviles.

El backend: simple, expuesto… y mal diseñado

Uno de los hallazgos más relevantes del informe es que la infraestructura del malware estaba lejos de ser sofisticada. El backend de ClayRat:

• Estaba desarrollado en Go (versión 1.24)

• No presentaba ofuscación

• Incluía cadenas de debug activas

• Utilizaba almacenamiento en archivos JSON en lugar de una base de datos

Este diseño, más propio de un proyecto en etapa inicial que de una operación criminal madura, expone la falta de hardening en la infraestructura atacante.

Además, el generador de APK (builder) permitía crear variantes del malware a partir de plantillas, lo que explica la rápida proliferación de muestras observadas en la campaña.

Configuración en texto plano: un riesgo para los propios atacantes

Otro punto crítico fue la gestión de configuraciones. El panel almacenaba en texto plano:

• Credenciales de usuarios

• Tokens de Telegram y SMS

• Dominios de comando y control

Esto no solo facilitaba el análisis por parte de investigadores, sino que también introducía un riesgo interno: cualquier compromiso del panel exponía toda la operación. En otras palabras, los operadores no protegieron su propia infraestructura.

Filtrado inteligente de SMS: foco en datos financieros

A nivel funcional, ClayRat incorporaba mecanismos relativamente avanzados para el procesamiento de información robada. El malware aplicaba un sistema de filtrado en múltiples capas sobre los SMS interceptados:

• Búsqueda por palabras clave asociadas a bancos y servicios financieros

• Identificación de entidades como fintechs y marketplaces

• Uso de expresiones regulares para detectar números de tarjetas

Este enfoque confirma que el objetivo no era solo la vigilancia, sino también la explotación directa de datos financieros.

Infraestructura compartida con otras amenazas

El análisis también reveló conexiones interesantes a nivel de infraestructura.

El dominio kpmail[.]su, utilizado en la campaña de ClayRat, apareció previamente asociado a indicadores de compromiso de otro malware llamado DCRAT, un backdoor conocido en el ecosistema criminal.

Este tipo de reutilización puede indicar el uso de recursos compartidos entre actores, la reutilización de infraestructura existente o incluso vínculos operativos entre campañas

Caída repentina: del crecimiento acelerado al apagón total

A pesar de su rápida expansión, con cientos de variantes detectadas en pocos meses, la actividad de ClayRat tuvo un final abrupto.

Para diciembre de 2025, todos los servidores de comando y control dejaron de estar operativos. La explicación llegó poco después, con la detención en Krasnodar de un estudiante sospechoso de desarrollar el malware.

Con la caída del operador, la infraestructura quedó inactiva y la campaña prácticamente desapareció.

Un patrón que se repite

El caso de ClayRat no es aislado. Su evolución recuerda a otros proyectos de malware que aparecen con fuerza y escalan rápidamente, pero colapsan por errores operativos o intervención legal.

En este caso, el propio informe sugiere que el declive no fue solo consecuencia de la detención, sino también de fallas fundamentales en el diseño del proyecto.

Lección clave: no todo malware sofisticado está bien construido

ClayRat logró captar atención global por su capacidad de propagación y sus funciones de espionaje, pero su backend demuestra que no todos los actores que desarrollan malware sofisticado tienen la madurez técnica para sostener una operación a largo plazo.

Y eso abre una línea interesante para la defensa: no solo hay que analizar el malware, también hay que atacar su infraestructura y, sobre todo, identificar sus debilidades operativas.