Malware CloudZ: cómo funciona este troyano y cómo proteger tu Windows

En los últimos meses se ha destapado una de las amenazas más inquietantes para usuarios de Windows: el malware CloudZ. No se trata del típico virus que solo borra archivos o ralentiza el equipo; este troyano de acceso remoto está diseñado para colarse en el ordenador, controlar el sistema casi por completo y, lo más grave, saltarse medidas de seguridad tan extendidas como la verificación en dos pasos por SMS. Todo ello sin que tengas que hacer nada raro con tu móvil.

CloudZ se apoya en herramientas y servicios totalmente legítimos como ScreenConnect y la aplicación Phone Link de Microsoft (la que viene instalada en Windows 10 y Windows 11 para conectar el PC con el móvil). Aprovecha esa integración entre dispositivos para leer mensajes, contraseñas de un solo uso, notificaciones y mucho más, sin tocar directamente el teléfono. Si usas Windows y tienes vinculado tu móvil al ordenador, este malware se convierte en un problema muy serio que conviene conocer al detalle.

Qué es CloudZ y por qué es tan peligroso

CloudZ es un troyano de acceso remoto o RAT (Remote Access Trojan) que lleva operando al menos desde enero de 2026, según descubrieron investigadores de Cisco Talos mientras analizaban la actividad de un intruso persistente en equipos con Windows. Este malware permite a los atacantes conectarse al sistema infectado, ejecutar órdenes de forma remota y desplegar módulos adicionales según lo que necesiten hacer en cada víctima.

A diferencia de muchas amenazas más “tradicionales”, CloudZ se caracteriza por ser modular, sigiloso y muy flexible. No llega solo: incluye distintos cargadores (bootloaders) escritos en Rust y .NET, además de un sistema de plugins que amplía sus capacidades. Esta arquitectura modular hace que sea más difícil de detectar y analizar, y facilita que los atacantes cambien o actualicen funciones sin tener que rediseñar todo el malware.

Los investigadores han observado que CloudZ está especializado en robar credenciales y datos sensibles, con un objetivo claro: conseguir acceso a cuentas personales o corporativas, plataformas online, servicios cloud y, en general, cualquier sistema que dependa de contraseñas o códigos de verificación. Aquí es donde entra en juego uno de sus componentes estrella: el plugin Pheno.

Pheno es un módulo diseñado para aprovechar las funciones de Microsoft Phone Link, la aplicación de Windows que permite gestionar llamadas, SMS y notificaciones del móvil desde el ordenador. En lugar de atacar directamente al teléfono, el malware se centra en la base de datos local que genera Phone Link en el PC y donde se almacena toda esa información sincronizada.

Cómo explota CloudZ la app Phone Link de Microsoft

Phone Link viene preinstalada en todas las versiones modernas de Windows 10 y Windows 11. Su función es bastante cómoda: permite ver en el ordenador las notificaciones del móvil, responder SMS, gestionar llamadas e incluso, en algunos casos, controlar ciertas apps del teléfono. Todo esto se sostiene sobre una sincronización continua entre el PC y el dispositivo móvil.

Para que esto funcione, Phone Link mantiene una base de datos local en el ordenador, generalmente en formato SQLite, donde se registran los mensajes de texto, algunos tipos de notificaciones y otros datos relacionados con la sesión activa. El plugin Pheno, integrado en CloudZ, se dedica precisamente a vigilar esa actividad y a acceder a ese archivo crítico.

Cuando Pheno detecta que hay una sesión de Phone Link activa, comprueba la ubicación de la base de datos y comienza a leer su contenido. Entre lo que puede encontrar se incluyen:

• Mensajes SMS enviados y recibidos a través del móvil.
• Códigos OTP (One-Time Password) enviados por SMS para verificar inicios de sesión o aprobar operaciones financieras.
• Notificaciones de aplicaciones de autenticación o servicios bancarios que lancen avisos al móvil.

De esta forma, el atacante obtiene acceso directo a los códigos temporales y mensajes sensibles sin tener que comprometer el teléfono. Todo ocurre desde el ordenador infectado, aprovechando la confianza que el usuario ha depositado en el ecosistema Windows y en la propia aplicación de Microsoft.

El resultado es que, si tienes Phone Link vinculado y CloudZ se cuela en tu PC, el ciberdelincuente puede bypassear la verificación por SMS, iniciar sesión en tus cuentas o aprobar operaciones solo con las credenciales robadas y los códigos interceptados. Da igual que el móvil esté físicamente contigo: el problema está en el puente que has creado entre dispositivos.

Cadena de infección: de la falsa actualización al control total

El proceso de infección de CloudZ, según el análisis de Cisco Talos y otros equipos de seguridad, suele arrancar con una supuesta actualización de ScreenConnect, una herramienta legítima de acceso remoto utilizada por empresas de soporte técnico y departamentos de TI. Los atacantes se aprovechan de la confianza en esta aplicación para dar credibilidad al engaño.

La víctima recibe, por ejemplo, un correo electrónico de phishing o es redirigida a una web fraudulenta que imita ser la página oficial de ScreenConnect o de un servicio de soporte. Allí se le indica que debe descargar una actualización “crítica” o un parche para resolver un problema técnico. Al ejecutar ese archivo, comienza una cadena de componentes maliciosos:

• En primer lugar, se lanza un bootloader desarrollado en Rust, ofuscado y diseñado para ser difícil de analizar y detectar por soluciones de seguridad tradicionales.
• Este bootloader de Rust descarga o despliega un segundo cargador escrito en .NET, que actúa como intermediario y se encarga de instalar la carga útil principal.
• Por último, el bootloader en .NET implanta el propio troyano CloudZ, configura mecanismos de persistencia en el sistema (como tareas programadas) y prepara el entorno para el uso de plugins como Pheno.

Durante este proceso, el malware incorpora varias técnicas avanzadas de evasión. El cargador en .NET, por ejemplo, lleva integradas comprobaciones para detectar si se está ejecutando en entornos de análisis automatizado o máquinas virtuales. Entre las medidas identificadas se incluyen:

• Verificación de herramientas de análisis como Wireshark, Fiddler, Procmon o Sysmon, deteniendo o alterando su comportamiento si las localiza en ejecución.
• Detección de cadenas asociadas a entornos virtuales o sandbox, con el objetivo de evitar que investigadores de seguridad puedan estudiar el malware fácilmente.
• Técnicas de evasión basadas en el tiempo, realizando pausas o comprobaciones que suelen delatar a los entornos de análisis automatizados por su comportamiento anómalo en la gestión de temporizadores.

A día de hoy, los analistas aún no tienen totalmente claro cómo llega siempre esa falsa actualización a las víctimas. La teoría más aceptada es que se distribuye principalmente mediante campañas de phishing (correos electrónicos fraudulentos) y páginas web maliciosas o comprometidas que simulan ser portales de soporte, confirmaciones de reserva, devoluciones de dinero u otros señuelos urgentes.

Capacidades principales de CloudZ en un sistema Windows

Una vez instalado y con la persistencia asegurada, CloudZ se comporta como una navaja suiza para el ciberdelincuente. Su diseño modular le permite desplegar diferentes funciones según las necesidades del ataque: desde el robo de información básica hasta el control casi total del equipo.

Entre las capacidades más destacadas de CloudZ se encuentran:

• Recolección de información del sistema: obtiene datos del equipo (versión de Windows, hardware, usuarios, programas instalados…) para perfilar a la víctima y adaptar el ataque.
• Comunicación con servidores de mando y control (C2): se conecta de forma cifrada con la infraestructura del atacante, utilizando cabeceras HTTP cuidadosamente preparadas y User-Agent preconfigurados para parecer tráfico legítimo de navegadores reales.
• Robo de datos almacenados en navegadores: extrae credenciales, cookies, historiales y otra información útil guardada en los navegadores más comunes, lo que facilita el acceso a servicios web sin levantar sospechas.
• Ejecución remota de comandos: el atacante puede lanzar comandos en el sistema host, ejecutar scripts o herramientas adicionales y moverse lateralmente dentro de una red corporativa.
• Gestión de archivos: permite borrar, descargar, modificar o escribir ficheros en el sistema infectado, simplificando tanto el robo de documentos como la implantación de nuevo malware.
• Grabación de pantalla: puede iniciar sesiones de screen recording para espiar la actividad del usuario, capturar información que no se almacena en texto (por ejemplo, números de tarjetas en pantallas, paneles de administración, etc.).
• Gestión de plugins: descarga, guarda en disco, instala o elimina módulos adicionales como Pheno, lo que hace que sus capacidades puedan crecer con el tiempo.
• Terminación de procesos del propio RAT: puede apagar o reiniciar componentes para evitar detecciones o cambiar de estrategia en mitad del ataque.

Además, CloudZ utiliza varias técnicas para ocultar y proteger su comunicación con los servidores C2. Entre ellas, destaca el uso de User-Agent Strings predefinidos que imitan navegadores populares y la inclusión sistemática de cabeceras Anti-Cache en las peticiones HTTP, con lo que intenta impedir que proxies o CDNs almacenen copias que podrían delatar sus patrones.

Impacto en entornos corporativos y riesgo para credenciales

Más allá del usuario doméstico, CloudZ supone un serio riesgo para organizaciones y, en especial, para el sector financiero. Equipos especializados como el Csirt Financiero ya han alertado de campañas activas de CloudZ RAT orientadas al compromiso de sistemas Windows en entornos corporativos, con énfasis en la recolección de información crítica.

Este malware modular, apoyado en plugins como Pheno, facilita la exposición de credenciales y el acceso no autorizado a información sensible sin necesidad de atacar directamente los dispositivos móviles de empleados o directivos. Basta con que el PC corporativo esté infectado y vinculado al teléfono mediante Phone Link para que los códigos OTP, notificaciones de apps bancarias o correos de verificación acaben en manos del atacante. Implementar Credential Guard y medidas similares en entornos corporativos puede ayudar a mitigar el riesgo sobre credenciales locales y tokens.

En este contexto, CloudZ se integra en una amenaza más amplia asociada al malware en la nube y al abuso de OAuth. Muchas empresas han adoptado plataformas como Microsoft 365, Google Workspace, Salesforce o Slack, y utilizan aplicaciones OAuth para ampliar funcionalidades, automatizar tareas y mejorar la experiencia de usuario. Sin embargo, estas mismas capacidades se han convertido en un vector de ataque muy apetecible.

Investigaciones de compañías como Proofpoint han identificado centenares de aplicaciones OAuth 2.0 maliciosas diseñadas para acceder a buzones de correo, archivos, contactos e incluso chats internos, muchas veces sin dejar apenas rastro. Los ciberdelincuentes combinan:

• Phishing con tokens OAuth, para engañar a usuarios y que concedan permisos a apps maliciosas.
• Abuso de aplicaciones OAuth ya comprometidas, distribuidas desde inquilinos cloud legítimos pero controlados por atacantes.

Una vez que la víctima aprueba la app, los atacantes pueden leer, enviar y manipular correos, acceder a ficheros, contactos y conversaciones en plataformas como Microsoft Teams, muchas veces sin necesidad de conocer la contraseña de la cuenta. Al combinar esto con un RAT como CloudZ, el margen de maniobra de los atacantes se dispara.

Las cifras que manejan los analistas son preocupantes: se estima que prácticamente todos los inquilinos cloud reciben campañas maliciosas de este tipo y más de la mitad acaban sufriendo algún grado de compromiso de cuentas. En este contexto, CloudZ es una pieza más dentro de una estrategia global centrada en robar identidades y aprovechar los puentes entre dispositivos y servicios cloud.

Medidas para protegerte de CloudZ y del malware cloud

La primera línea de defensa frente a CloudZ pasa por reducir la exposición de los códigos de verificación basados en SMS. Dado que el malware puede interceptar los OTP almacenados en la base de datos de Phone Link, los expertos recomiendan claramente evitar, en la medida de lo posible, el uso de SMS como segundo factor de autenticación.

En su lugar, es preferible optar por aplicaciones de autenticación dedicadas (como Microsoft Authenticator, Google Authenticator u otras similares) que generen códigos en el propio dispositivo y no dependan de mensajes de texto ni de notificaciones push fácilmente interceptables. Para cuentas y servicios especialmente sensibles (banca online, acceso a paneles corporativos, administración de servidores, etc.), la mejor opción es recurrir a llaves de seguridad físicas resistentes al phishing, que aportan una capa extra de protección muy difícil de esquivar incluso para atacantes avanzados. También puede considerarse el despliegue de Windows Hello y otros métodos robustos en entornos gestionados.

En el plano corporativo, resulta clave un control mucho más estricto sobre las aplicaciones OAuth que se instalan y usan dentro del entorno cloud. Algunas recomendaciones prácticas son:

• Aprovechar la verificación de editor de Microsoft y similares: aunque no es infalible, reduce considerablemente la exposición a apps de origen dudoso al resaltar aquellas de desarrolladores verificados.
• Limitar quién puede crear aplicaciones: restringir la creación de apps a cuentas administradoras de confianza dificulta que una cuenta de usuario comprometida sirva como puerta para desplegar malware cloud.
• Reducir la superficie de ataque: no otorgar permisos a ninguna app que no sea estrictamente necesaria, revisar los permisos solicitados, revocar periódicamente accesos que ya no se utilicen y monitorizar qué ocurre tras autorizar una aplicación.
• Adoptar una seguridad centrada en las personas, utilizando soluciones CASB (Cloud Access Security Broker) como las que ofrece Proofpoint para detectar apps de riesgo, revocar permisos OAuth peligrosos y combinarlo con prevención de fuga de datos (DLP) y controles de acceso adaptativos.

En cuanto al propio endpoint, las recomendaciones contra CloudZ pasan por reforzar la higiene digital básica: mantener Windows y las aplicaciones siempre actualizadas, evitar descargar software desde fuentes no oficiales, desconfiar de actualizaciones que llegan por correo o mensajes inesperados y usar soluciones de seguridad capaces de detectar comportamientos anómalos, no solo firmas de malware conocido; aprender a identificar procesos maliciosos en Windows 11 es una habilidad muy útil para detectar infecciones tempranas.

También conviene formar a los usuarios para que aprendan a identificar engaños visuales y mensajes sospechosos. Los ciberdelincuentes están utilizando incluso pantallas falsas que imitan el famoso “pantallazo azul de la muerte” de Windows, pidiendo al usuario que abra una ventana de comandos, pegue una instrucción y la ejecute para “arreglar el error”. Lo que en realidad consigue esa orden es instalar malware en el sistema. Un principio muy simple ayuda a evitar estos casos: Windows no te pedirá nunca que corrijas un fallo crítico pegando comandos aleatorios en una terminal a partir de un mensaje web.

En definitiva, CloudZ ha demostrado hasta qué punto la integración entre dispositivos y la comodidad de las plataformas cloud pueden volverse en contra del usuario cuando un atacante sabe cómo explotarlas. Entender cómo funciona este troyano, qué papel juega Phone Link, por qué el SMS como segundo factor se ha quedado corto y qué controles aplicar sobre las aplicaciones OAuth es fundamental para no ponérselo fácil a una amenaza que, a día de hoy, combina sigilo, capacidad de robo de datos y un uso muy inteligente de herramientas totalmente legítimas.