El 11 de mayo de 2026, el equipo de investigación de ThreatDown analizó un cifrador desconocido recuperado durante una intrusión en el sistema de uno de sus clientes. El ransomware, bautizado como «Prinz Eugen» en honor al crucero pesado alemán de la Segunda Guerra Mundial, está escrito en Go y presenta características técnicas que lo distinguen de lo habitual. Su característica más destacada: ordena los archivos por fecha de modificación y cifra primero los más recientes, centrándose deliberadamente en los datos que tienen más probabilidades de estar en uso. No deja ninguna nota de rescate en el disco, comprueba si cada archivo es descifrable antes de eliminar el original y, a continuación, se autodestruye borrando su propia clave de cifrado de la memoria. Hasta la fecha se conocen muy pocas víctimas; aunque el grupo sigue siendo de tamaño modesto, este cifrador merece nuestra atención por lo que revela sobre las técnicas emergentes en materia de ransomware.
Un cifrador que ataca primero a los archivos más recientes
El cifrador está desarrollado en Go. Sus funciones de cifrado se agrupan en un paquete denominado scorched-earth-ausfc. Para cada directorio pasado como parámetro, el binario realiza un recorrido recursivo sin límite de profundidad. La muestra analizada no define ninguna exclusión: se cifra cualquier archivo que no lleve ya la extensión .prinzeugen o el sufijo temporal .tmp.
La característica principal del cifrador es su orden de procesamiento: ordena los archivos por fecha de última modificación, colocando los más recientes en primer lugar, y solo recurre al orden alfabético en caso de igualdad de marca de tiempo. Esta estrategia es deliberada. Los archivos modificados recientemente son los que tienen mayor probabilidad de estar en uso: documentos abiertos, bases de datos activas, archivos de correo recientes, archivos de proyectos en curso, y los menos propensos a contar con una copia de seguridad reciente. Atacarlos primero aumenta la presión sobre la víctima y reduce el margen de tiempo en el que una intervención podría salvar los datos más críticos. En caso de que una solución de seguridad o un analista interrumpa el cifrado, los archivos cuya pérdida resultaría más grave ya estarán comprometidos.
El cifrado se ejecuta en paralelo a razón de una goroutine de trabajo por CPU. Para cada archivo, el proceso se desarrolla en tres etapas: creación de una copia temporal cifrada (por ejemplo , .document.docx.prinzeugen.tmp), cambio de nombre a la forma final (document.docx.prinzeugen), y, a continuación, si el indicador --delete está activo, comprobación de que el archivo cifrado se puede descifrar antes de eliminar el original. Esta comprobación es destacable: el cifrador no destruye nada que no pueda restaurar teóricamente, lo que refuerza su credibilidad ante la víctima.
La criptografía empleada es robusta: ChaCha20-Poly1305 (AEAD) con una clave maestra de 32 bytes, un IV aleatorio por archivo y una función de derivación de clave (KDF) en tres pasadas: Argon2id, luego SHA-256 y, por último, HKDF-SHA256. El cifrado se realiza en bloques de 1 MB con un control de integridad SHA-256. Cada archivo cifrado lleva un encabezado personalizado identificable por los bytes mágicos CHV1.
Sin nota de rescate, una extorsión totalmente fuera de banda
La muestra analizada no contiene ninguna funcionalidad para dejar una nota de rescate. Ni archivos de texto, ni páginas HTML, ni modificación del fondo de pantalla. La víctima no recibe ninguna instrucción en el sistema cifrado. La extorsión se lleva a cabo exclusivamente a través de canales fuera de banda: las direcciones de correo electrónico prinzeugen@mail2tor y [.]costandardbankcc@cock, y un portal Tor específico.[.]li
ThreatDown señala que esta ausencia de nota es «una táctica que se observa cada vez más entre los grupos organizados de ransomware ». El objetivo es doble: reducir la huella forense que se deja en el sistema comprometido y complicar la detección automatizada de la fase de extorsión. Esta tendencia a trasladar la extorsión a canales fuera de banda está documentada con mayor detalle por Europol en su informe IOCTA 2026.
Prinz Eugen practica la doble extorsión: cifrado de sistemas y exfiltración de datos. El ciberataque contra Standard Bank (el primer grupo bancario sudafricano), ampliamente difundido por varios medios de comunicación sudafricanos, es el ejemplo más detallado de ello. Se exfiltraron aproximadamente 1,2 TB de datos, lo que representa unos 154 millones de líneas de datos. La demanda de rescate, fijada en 1 BTC, fue rechazada por el banco. El operador inició entonces una campaña de filtraciones progresivas en su portal, pasando de 5 000 a 25 000, luego a 50 000 y finalmente a 100 000 líneas publicadas al día, de un total reivindicado de 154 millones de líneas. Entre otras cosas, esta negativa a pagar también puede enmarcarse en una tendencia global documentada: en 2025, solo el 28 % de las víctimas de ransomware pagaron el rescate.
Técnicas antiforenses y autodestrucción
Antes de finalizar, el binario toma medidas deliberadas para reducir al mínimo su huella forense. Pone a cero la clave de cifrado codificada de forma fija y, a continuación, activa el recolector de basura de Go para asegurarse de que la clave no persista en la memoria. Por último, se autoelimina del disco utilizando un comando cmd.exe con un retraso mediante ping: cmd.exe /C ping 127.0.0.1 -n 2 > nul & del /F /Q …Musicservertool.exe
El retraso del ping da tiempo al proceso padre a finalizar antes de que se ejecute la eliminación. El resultado combinado de estas tres medidas es que, tras la ejecución, ni la clave de cifrado es recuperable en memoria, ni el binario permanece en el disco. Esto complica considerablemente el análisis forense posterior al incidente.
ROOTBOY, un operador en solitario con un historial rastreable
ThreatDown atribuye el ransomware Prinz Eugen a un actor que opera bajo el seudónimo de ROOTBOY, presente en los foros Exploit y DarkForums, y que anteriormente actuaba bajo el alias avtokz en XSS. La trayectoria de este operador está documentada en varios foros clandestinos desde julio de 2025: venta de una base de datos de Vantage Finance bajo el nombre de avtokz, y, posteriormente, la comercialización en noviembre de 2025 de la filtración 700Credit (unos 8,4 millones de registros estadounidenses, incluidos números de la Seguridad Social) bajo el nombre de ROOTBOY, tras el fracaso de un intento de extorsión llevado a cabo bajo la identidad de GERMANIA.
El vínculo entre estos antecedentes y el cifrador Prinz Eugen se basa en un elemento concreto: en la intrusión analizada por los investigadores, el atacante creó una cuenta de administrador local con la contraseña «germania», el mismo alias utilizado en la extorsión de 700Credit. Según los investigadores, este es uno de los vínculos de atribución más sólidos entre el binario y el autor.
Según el estudio, probablemente se trate de una sola persona, que reutiliza los mismos seudónimos, el mismo identificador de TOX y la misma temática alemana de una operación a otra.
Acceso inicial y persistencia mediante herramientas legítimas
La intrusión analizada por ThreatDown probablemente comenzó con credenciales RDP comprometidas. Una vez dentro de la red, el atacante descargó el cifrador (servertool.exe) a través del navegador Chrome y lo colocó en la carpeta «Música» del perfil de usuario. La persistencia se garantizó mediante dos mecanismos complementarios: la herramienta de supervisión remota RemotePC (un software RMM legítimo de IDrive), utilizada para ejecutar «stagers» de PowerShell y desplegar cargas útiles adicionales desde la dirección 212.80.7.74, y la creación manual de una cuenta de administrador local mediante el comando net user admin germania /add.
Este enfoque es característico del método «Living off the Land» (LOTL): herramientas legítimas desviadas de su propósito original para camuflarse entre el tráfico normal de la empresa. En el caso del Standard Bank, la víctima mejor documentada, ThreatDown informa de un movimiento lateral a través de aplicaciones corporativas como SharePoint, OneDrive, Power Apps, AppDynamics, Jira, Confluence, Citrix, Remedy, así como bases de datos de Microsoft SQL y Oracle, con un tiempo de permanencia de unas tres semanas antes de la exfiltración.
Una infraestructura efímera con temática alemana
La dirección IP 212.80.7.74 (AS215439, Play2go International, Fráncfort) sirvió a la vez como servidor C2, panel de administración y servidor de descarga de las cargas útiles. El historial de DNS y las capturas del escáner de URL revelan tres dominios asociados a esta dirección.
El primero, stndrdbnk.cc, tiene como objetivo Standard Bank. Se trata de un typosquat, es decir, un dominio fraudulento que reproduce el nombre de una organización legítima eliminando, añadiendo o sustituyendo caracteres para que la dirección siga siendo visualmente creíble. En este caso, se han eliminado las vocales de «standardbank». Este dominio fue capturado el 29 de marzo y alojaba una página /unlocked compatible con un portal de negociación o de pago. Registrado el 14 de marzo de 2026 a través de Porkbun, desde entonces ha sido señalado como malicioso y su registro DNS ha sido retirado. El segundo, g-captchafestung.sbs, registrado el 27 de mayo a través de NiceNIC, sugiere por su nombre un posible señuelo de tipo ClickFix, aunque la página solo devolvía un {"ok":true} en el momento del análisis. El uso de ClickFix sigue sin confirmarse. El tercero, festung-e.duckdns.org, es un servidor DNS dinámico observado entre el 23 y el 30 de mayo.
Dos de estos tres dominios contienen la palabra Festung («fortaleza» en alemán), una elección coherente con la temática germanófona que impregna toda la operación: el propio nombre del ransomware, el paquete Go scorched-earth-ausfc, la contraseña «germania» y los dos dominios con el sufijo «Festung» conforman un hilo conductor deliberado.
A finales de mayo, la infraestructura ya había sido limpiada: el panel de administración había desaparecido, el dominio de typosquatting estaba desactivado y el perfil del operador en el foro había sido borrado. El operador desmantela sistemáticamente su infraestructura tras cada operación, un comportamiento que complica el seguimiento, pero que deja una ventana de exposición reducida.
Indicadores de compromiso
A continuación se recogen los principales indicadores de compromiso asociados a Prinz Eugen.
| Indicador | Tipo | Detalle |
|---|---|---|
212.80.7.74 | C2 / panel / carga útil | AS215439, Play2go International, Fráncfort |
stndrdbnk.cc | Dominio | Typosquat de Standard Bank, DNS retirado |
g-captchafestung.sbs | Dominio | Posible señuelo de ClickFix |
festung-e.duckdns.org | Dominio | DNS dinámico, observado del 23 al 30 de mayo |
servertool.exe | Carga útil | Cifrador Go |
.prinzeugen | Extensión | Archivos cifrados |
CHV1 | Cabecera mágica | Identificador de los archivos cifrados |
686213cc…bcf1f4 | SHA-256 | Hash de la muestra analizada |
net user admin germania /add | Persistencia | Cuenta de administrador local |
| RemotePC (IDrive) | Uso indebido de RMM | Stagers de PowerShell |
El autor es identificable por los seudónimos ROOTBOY, avtokz y GERMANIA, un ID de TOX común (496187…22F21), las direcciones de correo electrónico prinzeugen@mail2tor[.]co y standardbankcc@cock, y la cartera de Bitcoin [.]libc1q2ztpcvqdaptej6uu2ywt9mrlatx6envu34rf0v. Se puede acceder al portal de filtraciones activo en la dirección prinzfkbjiazbrur4mjje6mntjc4vydx3iatkkzycufoylqcoo4y7pqd; la dirección original [.]onion6cudc5cqa2bjpwdhcwm2lj6dbqejjjqzeo6ipwvmbazr6cgu7vfk3dad se encuentra actualmente fuera de línea.[.]onion
Prinz Eugen, un ransomware modesto en cuanto a su alcance, pero revelador por sus decisiones técnicas
Con cinco víctimas conocidas en el momento del estudio de ThreatDown, el ransomware Prinz Eugen ciertamente no tiene la envergadura de las grandes franquicias de ransomware. Sin embargo, este cifrador destaca por la coherencia de sus decisiones de diseño: priorización de los archivos recientes, ausencia de nota de rescate, verificación de la posibilidad de descifrado antes de eliminar el original y autodestrucción del binario. Cada decisión técnica persigue el mismo doble objetivo: aumentar la presión sobre la víctima y minimizar el rastro forense que dejan a los analistas.
Lo que revela sobre todo Prinz Eugen es la trayectoria de un actor aparentemente aislado, ROOTBOY, capaz de combinar herramientas criptográficas robustas, una disciplina operativa real y una lógica de extorsión fuera de banda hasta ahora asociada a operaciones mucho más estructuradas. Para un actor que, al parecer, actúa en solitario, es precisamente esta discrepancia entre la sofisticación de los medios y la envergadura de la operación lo que merece atención.
Fuentes:
- ThreatDown: «Prinz Eugen ransomware: un análisis en profundidad de un nuevo cifrador basado en Go»
- BleepingComputer: El nuevo ransomware Prinz Eugen da prioridad a los archivos recientes para su cifrado
- Daily Maverick: El Standard Bank está descubriendo el alcance del ciberataque en los volcados de datos diarios
- Ransomware.live: PrinzEugen
