En un reciente informe de actividades de amenazas avanzadas persistentes (APT) publicado por ESET Research, se ha detallado la dinámica de diversas agrupaciones APT durante el cuarto trimestre de 2025 y el primer trimestre de 2026. Este análisis se centra en la evolución de las tácticas y objetivos de estos grupos, proporcionando una visión comprensiva de la creciente complejidad del panorama cibernético mundial.
Durante el periodo analizado, los actores de amenazas alineados con China mostraron una actividad internacional notable, llevando a cabo campañas de espionaje influenciadas por cambios geopolíticos que afectan los intereses económicos y de seguridad de Beijing. Tras la operación militar de Estados Unidos en Venezuela y el clima de inestabilidad en la región del Golfo, se observaron movimientos de grupos como FamousSparrow, que apuntaron a una entidad gubernamental venezolana relacionada con asuntos marítimos. Este ataque sugiere un interés por parte de Beijing en monitorear la resiliencia de los envíos de petróleo en el contexto de la intervención estadounidense. Otras acciones notables incluyen el ataque de SteppeDriver a una red gubernamental en Siria, evidencia del interés chino en los proyectos de reconstrucción del país y los temores por la presencia de combatientes uigures.
Por otro lado, la actividad de grupos alineados con Irán fue significativamente marcada por el inicio de una guerra en el país, lo que paradójicamente resultó en una disminución de las operaciones de APT establecidos. A pesar de ello, se vio un aumento en los ataques de actores patrocinados por el régimen, que se centraron en realizar espionaje y operaciones destructivas, especialmente contra Israel y Estados Unidos. Clusters de actividad no atribuida, como Rusty Boots y MoKhargosh, demostraron tanto capacidades de espionaje como el potencial destructivo.
En el caso de Corea del Norte, los grupos de amenazas continuaron su enfoque en el ecosistema de criptomonedas, utilizando estrategias de ingeniería social para obtener ganancias directas y oportunidades de comprometer el software. Se registraron actividades de Lazarus y DeceptiveDevelopment, mientras que otros grupos como Kimsuky mostraron un enfoque más oportunista. La reaparición de Andariel también fue notable, con ataques dirigidos a empresas involucradas en tecnologías de interés militar.
En el ámbito de las APT alineadas con Rusia, el foco principal continuó siendo Ucrania, con acciones significativas de Sednit y Sandworm, quienes desplegaron implantes y herramientas destructivas contra personal militar y empresas de defensa en el país. Un incidente destacable fue un ataque de destrucción de datos que afectó a una compañía de energía polaca, en un contexto que evidencia las tensiones geopolíticas en la región.
Además, el informe documenta campañas de grupos menos conocidos y actividades no atribuidas, que incluyen ataques de phishing y el compromiso de redes en diversas partes del mundo, reflejando la amplia gama de tácticas utilizadas por los actores de amenazas.
ESET continúa protegiendo los sistemas de sus clientes contra estas actividades maliciosas, basándose en datos telemétricos propios que han sido verificados a través de su equipo de investigación.
Fuente: WeLiveSecurity by eSet.
