Se ha detectado un nuevo tipo de malware para Windows, denominado CloudZ, que representa una seria amenaza para la seguridad de los usuarios. Este troyano de acceso remoto, operativo desde enero de 2026, tiene la capacidad de interceptar mensajes de texto y robar contraseñas al aprovecharse de una aplicación legítima de Microsoft. Lo más preocupante es que el atacante no necesita comprometer directamente el dispositivo móvil, sino únicamente el PC del usuario.
Investigadores de Cisco Talos han identificado una variante de CloudZ que afecta a usuarios de Windows. El malware utiliza un plugin hasta ahora desconocido llamado Pheno, el cual se infiltra en la aplicación Phone Link de Microsoft. Esta aplicación, preinstalada en Windows 10 y 11, permite a los usuarios visualizar notificaciones, SMS y llamadas de su teléfono directamente desde su ordenador.
Pheno detecta cuando una sesión de Phone Link está activa y, en ese momento, accede a la base de datos local de la aplicación. Allí se almacenan los mensajes sincronizados, incluyendo los códigos OTP (One-Time Password) enviados por SMS para verificar la identidad del usuario. Además de leer SMS y contraseñas temporales, CloudZ puede sustraer información almacenada en navegadores web, ejecutar comandos de forma remota, administrar archivos, grabar la pantalla e instalar o desinstalar plugins adicionales.
La principal vulnerabilidad reside en que el atacante no necesita acceder al teléfono móvil. La aplicación Phone Link ya establece la conexión entre el dispositivo móvil y el PC. El malware, una vez en el ordenador infectado, explota esta conexión. Si Phone Link está habilitado y el equipo está comprometido, los códigos temporales que llegan al móvil pueden caer fácilmente en manos del atacante.
La infección por CloudZ comienza con una actualización fraudulenta de ScreenConnect, una herramienta de acceso remoto legítima. Al ejecutar este archivo falso, se activa un cargador desarrollado en Rust que, a su vez, instala un segundo cargador en .NET. Este último es el responsable de implantar el troyano CloudZ y asegurar su persistencia en el sistema mediante una tarea programada.
El cargador de .NET incorpora varias medidas para dificultar su análisis. Detecta la presencia de herramientas de seguridad como Wireshark, Fiddler o Procmon, identifica entornos de máquinas virtuales y emplea técnicas de evasión temporales para eludir análisis automatizados.
Actualmente, no se ha determinado cómo llega la actualización falsa de ScreenConnect a los equipos de las víctimas. Se sospecha que podría distribuirse a través de correos electrónicos de phishing o páginas web comprometidas, dado que se utiliza una herramienta de soporte técnico como señuelo.
Ante esta amenaza, los investigadores recomiendan encarecidamente dejar de usar mensajes de texto SMS como segundo factor de autenticación siempre que sea posible. Los códigos SMS son vulnerables debido a que dependen de un canal que puede ser interceptado fácilmente, como demuestra este malware. Se aconseja el uso de aplicaciones de autenticación que no dependan de notificaciones push o, para servicios críticos, la implementación de llaves de seguridad físicas resistentes al phishing.