En el ámbito de la ciberseguridad, el informe de actividad APT de ESET correspondiente al segundo y tercer trimestre de 2025 ha destacado las operaciones de varios grupos de amenazas persistentes avanzadas (APT) que han estado activas entre abril y septiembre de este año. Este análisis revela tendencias significativas en el panorama de las amenazas, mostrando solo una fracción de los datos de inteligencia recopilados y analizados por los investigadores de ESET.
Durante el período examinado, se observó un avance notable en las actividades de grupos alineados con China, quienes han estado utilizando técnicas sofisticadas para acceder a redes y moverse lateralmente dentro de ellas. Grupos como PlushDaemon y SinisterEye han adoptado nuevas estrategias, destacando el uso de «adversary-in-the-middle». FamousSparrow, en particular, ha incrementado su actividad en América Latina, atacando distintas entidades gubernamentales, lo que parece enmarcarse dentro de las tensiones geopolíticas actuales entre EE. UU. y China. En otro frente, Mustang Panda se mantuvo activo en Asia y Europa, enfocándose en sectores gubernamentales y marítimos.
Por su parte, el grupo MuddyWater, alineado con Irán, ha incrementado las actividades de spearphishing, utilizando correos electrónicos enviados desde bandejas de entrada comprometidas para mejorar sus tasas de éxito. Otros grupos iraníes como BladedFeline y GalaxyGato también continuaron operativos, este último implementando una técnica innovadora de «DLL-search-order hijacking» para robar credenciales.
Las amenazas de actores norcoreanos también han evolucionado, dirigiéndose hacia el sector de criptomonedas y expandiendo sus operaciones a países como Uzbekistán. Las campañas de grupos como Lazarus y Kimsuky han buscado tanto espiar como generar ingresos, utilizando tácticas de ingeniería social centradas en sistemas macOS.
Los grupos alineados con Rusia, particularmente Gamaredon, han intensificado sus esfuerzos en Ucrania, sobre todo a través de técnicas de spearphishing, mientras que Sandworm adoptó un enfoque destructivo al desplegar herramientas de borrado de datos contra entidades gubernamentales y empresas del sector energético.
Además, se identificaron actividades de grupos menos conocidos, como FrostyNeighbor, que explotó vulnerabilidades en aplicaciones populares, y Wibag, un nuevo spyware en Irak que se disfraza como una aplicación de YouTube, diseñado para monitorear plataformas de mensajería y grabar llamadas.
El informe en su conjunto ofrece una visión clara de cómo las distintas APT han reaccionado a los cambios geopolíticos y tecnológicos, adaptando continuamente sus tácticas para comprometer sectores estratégicos y objetivos de alto perfil, subrayando así la importancia de una vigilancia constante en el ciberespacio.
Fuente: WeLiveSecurity by eSet.
