Entre octubre de 2024 y marzo de 2025, el informe de actividad APT de ESET ha destacado una serie de campañas de ciberespionaje llevadas a cabo por grupos de amenazas persistentes avanzadas (APT), con un enfoque particular en actores alineados con China, Irán, Corea del Norte y Rusia.
Los actores alineados con China, como Mustang Panda, han intensificado su actividad en Europa, apuntando principalmente a instituciones gubernamentales y empresas de transporte marítimo. Utilizaron cargadores Korplug y unidades USB maliciosas. Otro grupo, DigitalRecyclers, se centró en entidades gubernamentales de la UE, empleando la red de anonimización KMA VPN junto con un conjunto de puertas traseras conocidas como RClient y HydroRShell. También se documentó la aparición de un nuevo recurso de espionaje, NanoSlate, utilizado por PerplexedGoblin contra un ente gubernamental de Europa Central. Cabe destacar que el uso de SoftEther VPN por parte de Webworm resalta la preferencia por herramientas de anonimato dentro de estas operaciones.
Por otro lado, los grupos alineados con Irán permanecieron muy activos, con MuddyWater como principal actor, que recurrió a software de monitoreo remoto en ataques de phishing. Este grupo colaboró con Lyceum, un subgrupo de OilRig, para atacar a una empresa manufacturera israelí. Asimismo, se reportaron ataques destructivos liderados por CyberToufan en varias organizaciones en Israel, mostrando una tendencia hacia operaciones más agresivas.
En cuanto a Corea del Norte, las campañas se caracterizaron por un enfoque financiero. El grupo DeceptiveDevelopment amplió su blanco hacia el sector de las criptomonedas usando técnicas engañosas como anuncios de empleos falsos y publicaciones fraudulentas en GitHub para distribuir malware. En un caso de robo significativo, el FBI atribuyó la sustracción de fondos de Bybit a TraderTraitor, señalando una compromisión de la cadena de suministro de Safe{Wallet} con pérdidas cercanas a los 1.500 millones de dólares. Las fluctuaciones en la actividad de otros grupos como Kimsuky y Konni indica un retorno hacia el enfoque en entidades surcoreanas.
Los actores alineados con Rusia, incluyendo Sednit y Gamaredon, han mantenido campañas agresivas dirigidas principalmente contra Ucrania y países de la UE. Sednit ha refinado su explotación de vulnerabilidades, mientras que Gamaredon ha mejorado la ofuscación de su malware, introduciendo herramientas como PteroBox. La notoriedad de la operación destructiva de Sandworm contra empresas energéticas ucranianas subraya la escalada de ataques.
Adicionalmente, se han observado campañas de phishing altamente dirigidas a diplomáticos ucranianos, y grupos menos conocidos como APT-C-60 han sido identificados atacando a individuos en Japón vinculados a Corea del Norte. Las actividades de espionaje por parte de StealthFalcon en Türkiye y Pakistán también fueron destacadas.
Este informe pone de relieve las tendencias y avances en las amenazas cibernéticas, destacando la importancia de la ciberinteligencia para contrarrestar estas actividades maliciosas en un entorno global cada vez más complicado.
Fuente: WeLiveSecurity by eSet.
