Investigadores de **Rapid7** analizaron dos variantes distintas de **Kyber** en marzo de 2026 durante una respuesta a incidentes. Ambas variantes se desplegaron en la misma red, con una apuntando específicamente a entornos VMware ESXi y la otra centrándose en servidores de archivos Windows. ### Variante ESXi: Cifrado enfocado en VMware "La variante ESXi está construida específicamente para entornos VMware, con capacidades para cifrado de datastore, terminación opcional de máquinas virtuales y alteración de interfaces de administración", explica **Rapid7**. La variante ESXi enumera todas las máquinas virtuales (VM), cifra los archivos del datastore y altera las interfaces de ESXi con notas de rescate para guiar a las víctimas a través del proceso de pago y recuperación.  _**Portal de extorsión del ransomware Kyber** Fuente: BleepingComputer.com_ ### Afirmaciones Post-Cuánticas y la Realidad Si bien el ransomware anuncia cifrado 'post-cuántico' basado en la encapsulación de claves **Kyber1024**, **Rapid7** descubrió que estas afirmaciones son engañosas para el cifrador Linux ESXi. La versión Linux utiliza ChaCha8 para el cifrado de archivos y RSA-4096 para el empaquetado de claves. Los archivos pequeños (<1 MB) se cifran completamente con la extensión '.xhsyw', mientras que los archivos más grandes sufren un cifrado parcial o intermitente basado en el tamaño y la configuración del operador.  _**Nota de rescate incrustada en el binario ELF** Fuente: Rapid7_ ### Variante Windows: Basada en Rust y Potencialmente Más Sofisticada La variante Windows, escrita en Rust, implementa **Kyber1024** y X25519 para la protección de claves, alineándose con las afirmaciones de la nota de rescate. "Esto confirma que **Kyber** no se utiliza para el cifrado directo de archivos. En cambio, **Kyber1024** protege el material de la clave simétrica, mientras que AES-CTR maneja el cifrado de datos masivos", explica **Rapid7**. Independientemente de si se utiliza RSA o **Kyber1024**, los archivos permanecen irrecuperables sin la clave privada del atacante. La variante Windows agrega la extensión '.#~~~' a los archivos cifrados, termina servicios, elimina copias de seguridad e incluye una función experimental para apagar máquinas virtuales Hyper-V. Está diseñada para eliminar las rutas de recuperación de datos eliminando las instantáneas de volumen (shadow copies), deshabilitando la reparación de arranque, finalizando servicios de SQL, Exchange y copias de seguridad, borrando los registros de eventos y vaciando la Papelera de reciclaje de Windows.  _**Kyber para CLI de Windows** Fuente: Rapid7_ La variante Windows de **Kyber** también utiliza un mutex inusual, haciendo referencia a una canción en la plataforma de música Boomplay, según **Rapid7**. En general, la variante Windows parece más madura técnicamente que la variante ESXi. Actualmente, solo una víctima figura en el portal de extorsión de datos de **Kyber**: un contratista de defensa estadounidense multimillonario y proveedor de servicios de TI.