Grupos VX Históricos: iKx, SLAM, Phalcon/Skism y la Primera Generación del Underground

El ecosistema de los grupos VX

La escena VX no fue un monolito. Fue un ecosistema de grupos con diferentes filosofías, niveles de competencia técnica, bases geográficas y actitudes hacia la ética del virus writing. Mientras 29A y Dark Avenger reciben la mayor parte de la atención histórica, existieron docenas de otros grupos que contribuyeron a la escena y que, en conjunto, formaron la cultura underground del virus writing de los años 90.

Este artículo documenta los grupos más influyentes de la primera y segunda generación de la escena VX, sus publicaciones, sus contribuciones técnicas y las dinámicas de rivalidad y colaboración que definieron la cultura.

Phalcon/Skism: los pioneros estadounidenses

Historia y contexto

Phalcon/Skism fue el resultado de la fusión de dos grupos VX estadounidenses: Phalcon y Skism. Activos entre aproximadamente 1990 y 1993, fueron uno de los primeros grupos VX organizados de Estados Unidos y publicaron la influyente ezine 40Hex.

El grupo operaba desde la zona de Nueva York y estaba compuesto por virus writers que se conocían tanto online (a través de BBS) como en persona. Esta combinación de interacción online y offline era poco común en la escena VX global, donde la mayoría de los miembros de un grupo se comunicaban exclusivamente por medios electrónicos.

40Hex: la ezine fundacional

40Hex fue una de las primeras ezines VX en establecer estándares de calidad editorial. Publicada en formato texto ASCII (como era habitual en la época), incluía artículos técnicos sobre:

Formato de ejecutables DOS. 40Hex publicó análisis detallados de los formatos .COM y .EXE de DOS, incluyendo las estructuras internas, los headers y los mecanismos de carga en memoria. Estos análisis eran la base técnica necesaria para cualquier virus que infectara archivos ejecutables.

Técnicas de residencia en memoria (TSR). Los virus TSR (Terminate and Stay Resident) se cargaban en memoria y permanecían activos después de que el programa infectado terminara. 40Hex documentó las técnicas para interceptar interrupciones de DOS (especialmente INT 21h, la interrupción del sistema de archivos) y mantener código residente que infectaba cada archivo ejecutable que el sistema abría.

Técnicas de stealth. Los virus stealth ocultaban su presencia interceptando las operaciones del sistema que los antivirus utilizaban para detectarlos. 40Hex documentó cómo un virus residente podía interceptar las llamadas de lectura de archivos y presentar una versión "limpia" del archivo infectado, haciendo invisible la infección para el antivirus.

Anti-debugging. Técnicas para detectar y evadir depuradores como DEBUG.COM y los primeros antivirus que usaban técnicas de debugging para analizar virus.

Contribución técnica

La principal contribución de Phalcon/Skism fue la sistematización del conocimiento. Antes de 40Hex, las técnicas de virus writing se transmitían de persona a persona. 40Hex las documentó de forma organizada y accesible, creando un corpus de referencia que otros grupos VX (incluyendo 29A) utilizaron como base.

iKx: la escena francesa

Contexto y formación

iKx (pronunciado como "iks") fue un grupo VX francés activo a mediados y finales de los 90. El grupo se distinguió por su enfoque en virus para Windows 95 y Windows NT, plataformas que representaban el futuro del virus writing en un momento en que muchos grupos aún se centraban en DOS.

Contribuciones técnicas

iKx documentó técnicas específicas del entorno Windows que eran significativamente más complejas que las equivalentes de DOS:

Infección de archivos PE en Windows 95/NT. El formato PE (Portable Executable) era más complejo que los formatos .COM y .EXE de DOS. Infectar un PE sin romperlo requería entender headers, secciones, tablas de importación y exportación, relocaciones y el mecanismo de carga del loader de Windows.

Ring-0 (kernel mode) en Windows 9x. Windows 95/98 tenía un modelo de protección más laxo que Windows NT. iKx documentó técnicas para que un virus obtuviera acceso al nivel de privilegio más alto (ring 0, kernel mode) desde user mode, explotando las debilidades del modelo de seguridad de Windows 9x. Estas técnicas fueron precursoras de los rootkits de kernel que aparecerían masivamente en los 2000.

VxD hooking. Los Virtual Device Drivers (VxD) eran el mecanismo de extensión del kernel en Windows 9x. iKx documentó cómo un virus podía instalar un VxD malicioso para interceptar operaciones del sistema a nivel de kernel, proporcionando stealth y persistencia a un nivel que era imposible desde user mode.

Ezine de iKx

La ezine de iKx seguía el modelo establecido por 40Hex y 29A: artículos técnicos con código fuente completo, explicaciones teóricas y discusión de limitaciones. La calidad técnica era alta, aunque el volumen de producción fue menor que el de grupos más prolíficos.

SLAM: Langues Strausser and Meridian

Perfil del grupo

SLAM fue un grupo VX que publicó su propia ezine con artículos centrados en técnicas de infección para plataformas Windows. El grupo tenía miembros internacionales y mantuvo una producción constante de artículos técnicos durante varios años.

Contribuciones

SLAM se distinguió por su trabajo en áreas como la infección de nuevos formatos de archivo y técnicas de propagación que iban más allá de la simple infección de ejecutables. El grupo documentó técnicas de infección de scripts, documentos y formatos de archivo que la industria antivirus no monitorizaba activamente.

La ezine de SLAM incluía tutoriales estructurados que guiaban al lector desde conceptos básicos hasta técnicas avanzadas, lo que la hacía particularmente accesible para nuevos virus writers. Esta función pedagógica fue una contribución significativa al crecimiento de la escena VX.

VLAD: los australianos

Virus Labs and Distribution

VLAD (Virus Labs and Distribution) fue un grupo australiano activo entre 1994 y 1997 que publicó siete números de una ezine de alta calidad. VLAD es especialmente notable por dos contribuciones:

Bizatch (Boza). Quantum, miembro de VLAD, escribió lo que se considera el primer virus para Windows 95. Bizatch infectaba archivos PE de 32 bits y demostró que la transición de DOS a Windows no eliminaba la amenaza de los virus, sino que la trasladaba a un nuevo entorno.

Enfoque pedagógico. La ezine de VLAD era excepcionalmente didáctica. Cada artículo explicaba los conceptos desde cero, con diagramas ASCII, código comentado línea por línea y discusiones sobre por qué se tomaba cada decisión técnica. Para muchos aspirantes a investigadores de seguridad, VLAD fue su primera exposición seria a la programación de bajo nivel en Windows.

Documentación de Windows internals. Los artículos de VLAD sobre las estructuras internas de Windows 95 eran tan detallados que fueron utilizados por programadores legítimos (no solo virus writers) como referencia sobre un sistema operativo cuya documentación oficial de Microsoft era incompleta.

NuKE: la polémica

Herramientas automatizadas

NuKE, fundado en Canadá en 1992, se distinguió del resto de la escena VX por su enfoque en herramientas automatizadas. El VCL (Virus Creation Laboratory), publicado por NuKE, era un programa con interfaz de menú que permitía crear virus sin programar una sola línea de código. El usuario seleccionaba opciones (tipo de infección, payload, técnica de residencia) y VCL generaba el código ensamblador del virus.

La reacción de la escena

VCL fue extremadamente polémico dentro de la propia escena VX. Los grupos que valoraban la habilidad técnica (como 29A y Phalcon/Skism) lo despreciaron abiertamente. El argumento era que VCL permitía a personas sin conocimiento técnico crear virus, lo que degradaba la escena y aumentaba el riesgo de daño real sin aportar innovación técnica.

Los defensores de NuKE argumentaban que VCL democratizaba el conocimiento y que juzgar la herramienta por su uso potencial era equivalente a prohibir los cuchillos porque se podían usar como armas.

La polémica sobre VCL anticipó un debate que se repetiría décadas después con las herramientas de pentesting (como Metasploit) y los frameworks de malware (como Cobalt Strike): ¿deben existir herramientas que faciliten la creación de ataques, incluso si su propósito declarado es la investigación?

NuKE InfoJournal

Más allá de VCL, NuKE publicó la NuKE InfoJournal, una ezine que incluía tutoriales de ensamblador, análisis de antivirus y artículos sobre técnicas de infección. La calidad era variable (algunos artículos eran excelentes, otros superficiales), pero la ezine contribuyó a expandir la base de conocimiento disponible para virus writers principiantes.

Ready Rangers Liberation Front (RRLF)

Perfil

RRLF fue un grupo VX activo en los 2000 que publicó su propia ezine. El grupo se centraba en técnicas modernas de infección para Windows y .NET, representando una generación posterior a los grupos clásicos de los 90.

Contribuciones

RRLF documentó técnicas de infección para el CLR (Common Language Runtime) de .NET, un territorio relativamente inexplorado por otros grupos VX. La infección de assemblies .NET requería técnicas diferentes a la infección de PE nativos, ya que el código no se ejecutaba directamente en el procesador sino en una máquina virtual.

El grupo también trabajó en técnicas de infección de scripts y lenguajes de alto nivel (Visual Basic Script, JavaScript, Python), anticipando la tendencia moderna del malware a utilizar scripting languages para la entrega y ejecución inicial.

EOF Magazine

Contexto

EOF (End of File) Magazine fue una ezine VX que publicó varios números centrados en técnicas de virus writing para múltiples plataformas. El nombre hacía referencia al marcador de fin de archivo, un concepto fundamental para la infección de archivos (muchos virus se adjuntan al final del archivo, antes o después del marcador EOF).

Contribuciones

EOF Magazine cubría un espectro amplio de temas: desde técnicas básicas de infección hasta investigación avanzada en anti-emulación y metamorfismo. La ezine incluía contribuciones internacionales y mantenía un nivel técnico consistente.

Dinámicas de la escena

Rivalidades productivas

Las rivalidades entre grupos VX fueron, en muchos casos, productivas. La competición por publicar la técnica más innovadora, el virus más elegante o la ezine de mayor calidad impulsó la innovación técnica. Un artículo publicado por un grupo rival era un desafío implícito: responder con algo mejor.

Estas rivalidades se expresaban a veces de forma directa en las páginas de las ezines. Los editoriales criticaban abiertamente el trabajo de otros grupos, señalando errores técnicos, falta de originalidad o prácticas consideradas inaceptables (como los payloads destructivos o las herramientas para "lamers").

Colaboraciones y miembros compartidos

A pesar de las rivalidades, existía colaboración. Algunos virus writers contribuían artículos a las ezines de múltiples grupos. Las técnicas publicadas por un grupo eran frecuentemente adoptadas, mejoradas y documentadas por otros. La escena VX funcionaba, en cierto sentido, como una comunidad de investigación descentralizada donde el conocimiento fluía (a veces con atribución, a veces sin ella) entre grupos.

El ciclo de vida de un grupo VX

Los grupos VX tenían un ciclo de vida típico:

Formación. Un virus writer con reputación atraía a otros y formaba un grupo. O varios virus writers se conocían en un BBS o canal de IRC y decidían organizarse.

Crecimiento. El grupo reclutaba miembros, establecía estándares de calidad y comenzaba a publicar una ezine. Los primeros números generaban reputación.

Madurez. El grupo producía sus mejores artículos, alcanzaba su nivel técnico más alto y ganaba reconocimiento en la escena.

Declive. Los miembros originales abandonaban la escena (por madurez personal, cambio de intereses o integración en la industria legítima). Los nuevos miembros no mantenían el nivel de calidad. La publicación se espaciaba y eventualmente cesaba.

Disolución. El grupo dejaba de existir como entidad, aunque sus artículos permanecían en los archivos de BBS y posteriormente en sitios web como VX Heavens.

Este ciclo se repetía con notable consistencia en grupos de diferentes países y épocas, sugiriendo que los factores demográficos (edad de los miembros, etapa vital) eran más determinantes que los factores técnicos o culturales.

El legado colectivo

El legado colectivo de estos grupos VX va más allá de las técnicas individuales que documentaron. En conjunto, crearon una cultura de documentación técnica, publicación abierta y competición meritocrática que influyó en la cultura de seguridad informática actual.

Las conferencias de seguridad modernas (DEF CON, Black Hat, Virus Bulletin) heredan la tradición de compartir técnicas ofensivas y defensivas que los grupos VX iniciaron en sus ezines. Los programas de bug bounty, la divulgación responsable de vulnerabilidades y los frameworks de red teaming tienen raíces conceptuales en la cultura de los grupos VX, aunque operan dentro de marcos legales y éticos que la escena original no tenía.

Los archivos de estas ezines, preservados por VX-Underground y otros proyectos de archivo histórico, constituyen un patrimonio técnico que sigue siendo consultado por investigadores de malware, historiadores de la informática y profesionales de seguridad que buscan entender los fundamentos de las técnicas que el malware moderno utiliza.

Fuentes y lecturas recomendadas

• Archivo de 40Hex: números 1-14, VX-Underground historical collection.
• Archivo de VLAD: números 1-7, VX-Underground historical collection.
• Archivo de NuKE InfoJournal, RRLF, EOF Magazine: VX-Underground.
• Bontchev, Vesselin. "Future Trends in Virus Writing". Virus Bulletin Conference, 1993.
• Ludwig, Mark. "The Giant Black Book of Computer Viruses". American Eagle Publications, 1995.
• Gordon, Sarah. "Virus Writers: A Sociological Analysis". IBM Research, 1994.