Una descripción general de las actividades de grupos APT seleccionados investigados y analizados por ESET Research en el cuarto trimestre de 2025 y el primer trimestre de 2026.
28 de mayo de 2026
•
,
4 min. leer
El Informe de actividad de ESET APT del cuarto trimestre de 2025 al primer trimestre de 2026 resume las actividades notables de grupos seleccionados de amenazas persistentes avanzadas (APT) documentadas por investigadores de ESET desde octubre de 2025 hasta marzo de 2026. Las operaciones destacadas aquí son representativas del panorama de amenazas más amplio que investigamos durante este período, ilustran tendencias y desarrollos clave, y contienen solo una fracción de los datos de inteligencia de ciberseguridad proporcionados a los clientes de los informes APT de ESET Threat Intelligence.
Durante el período monitoreado, los actores de amenazas alineados con China permanecieron muy activos en todo el mundo, llevando a cabo campañas de espionaje moldeadas en parte por acontecimientos geopolíticos que afectan los intereses económicos y de seguridad de Beijing. Después de la operación militar estadounidense en Venezuela y en medio de la continua inestabilidad en la región del Golfo, detectamos señales de que grupos alineados con China se estaban movilizando para mejorar la visibilidad de Beijing sobre los acontecimientos marítimos, energéticos y políticos en el extranjero. En un caso notable, FamousSparrow apuntó a una entidad gubernamental venezolana relacionada con asuntos marítimos, que probablemente monitorearía la resistencia de los envíos de petróleo después de la intervención estadounidense. También notamos que SteppeDriver apuntaba a una red gubernamental siria, actividad que puede reflejar tanto el interés comercial chino en los proyectos de reconstrucción de Siria como las preocupaciones de seguridad que rodean a los combatientes uigures presentes en ese país. En VirusTotal encontramos PhiliKit, un nuevo implante que evaluamos como parte del conjunto de herramientas SPAWN de UNC5221 dirigido a dispositivos VPN de Ivanti, mientras que nuestro seguimiento de NegativeGlimmer reveló que el grupo compromete entidades gubernamentales en Camboya y Panamá, así como una empresa de inteligencia artificial y robótica en Corea del Sur. Este último objetivo en Corea del Sur se alinea con el interés duradero de Beijing en tecnologías estratégicas priorizadas bajo la política de desarrollo industrial Made in China 2025.
La guerra en Irán que comenzó a finales de febrero de 2026 fue el acontecimiento definitorio de la actividad alineada con Irán durante este período. Paradójicamente, el conflicto coincidió con una disminución en la actividad de los grupos APT establecidos alineados con Irán en nuestra telemetría, muy probablemente porque las restricciones de Internet impuestas por el régimen iraní obstaculizaron su capacidad para operar con eficacia. Al mismo tiempo, este entorno parece haber favorecido la movilización de actores proxy y hacktivistas dirigidos a Israel, Estados Unidos y otros Estados considerados hostiles a Teherán. También documentamos un aumento inusual en la actividad contra objetivos israelíes que no pudimos vincular con seguridad con grupos previamente conocidos. Dos grupos de actividades no atribuidas, Rusty Boots y MoKhargosh, demostraron capacidades de espionaje y potencial destructivo (incluido el despliegue de un limpiador estilo bootkit y la conservación de herramientas destructivas para su uso posterior), mientras que un tercero, MOØN Badr, parece haberse limitado al espionaje dirigido.
Los actores de amenazas alineados con Corea del Norte permanecieron activos en varios frentes. Múltiples grupos continuaron apuntando a los desarrolladores y al ecosistema de criptomonedas con esquemas de ingeniería social que pueden generar ganancias financieras directas y oportunidades para comprometer la cadena de suministro de software. Lazarus y DeceivedDevelopment continuaron invirtiendo en la construcción de relaciones a largo plazo con objetivos de alto valor, mientras que Kimsuky y Konni favorecieron ataques más rápidos y oportunistas. También descubrimos el resurgimiento de Andariel en Corea del Sur, donde el grupo implementó TigerRAT e intentó difundir el ransomware Rook dentro de una empresa de ingeniería que parece fabricar equipos relevantes para el manejo de hidrógeno líquido y la industria nuclear, tecnologías que obviamente son de interés para las ambiciones balísticas y nucleares de Pyongyang.
También hicimos un seguimiento de la evolución continua de las campañas de Lazarus, incluidas Operation DreamJob y Operation DangerousPassword. Los primeros apuntaban a los fabricantes europeos de drones; esto último llevó al compromiso de la biblioteca JavaScript ampliamente utilizada axios, que tiene más de 100 millones de descargas semanales en el registro npm y es fundamental para las aplicaciones web y móviles en todo el mundo. Los atacantes aprovecharon las credenciales comprometidas del mantenedor principal para publicar versiones maliciosas de la biblioteca que inyectaban código troyanizado en los sistemas afectados, antes de ser detectados y eliminados. Paralelamente, ScarCruft comprometió una plataforma de juegos que presta servicios en la región de Yanbian en China, probablemente para recopilar información de inteligencia sobre personas de interés para el régimen de Corea del Norte, incluidos refugiados y desertores.
Los actores de amenazas alineados con Rusia continuaron centrándose abrumadoramente en Ucrania y las entidades conectadas con los esfuerzos de defensa del país. Sednit desplegó sus implantes Covenant y BeardShell contra personal militar ucraniano, fabricantes de drones y organizaciones involucradas en la investigación y el desarrollo de drones, y también contra empresas de logística y transporte fuera de Ucrania. Sandworm intensificó su actividad destructiva durante el invierno, desplegando varios limpiaparabrisas nuevos en Ucrania contra objetivos gubernamentales y del sector privado. Particularmente notable fue un incidente de destrucción de datos ocurrido en diciembre de 2025 que afectó a una empresa energética polaca, que atribuimos a Sandworm con un nivel de confianza medio. Aunque los ataques destructivos por parte de actores alineados con Rusia fuera de Ucrania siguen siendo poco comunes, este caso se destaca porque afectó infraestructura crítica en un estado miembro de la OTAN. Dado el papel de Polonia a la hora de ayudar a estabilizar el suministro eléctrico de Ucrania, es posible que la operación tuviera como objetivo sobrecargar la red eléctrica de Ucrania durante el invierno.
También realizamos un seguimiento de varias campañas destacadas de grupos menos conocidos y no atribuidos. Estos incluyen un ataque de phishing de navegador en el navegador contra un grupo de expertos japonés, software espía de Android al que llamamos Asin y que se dirige a usuarios de habla árabe a través de aplicaciones que afirman ofrecer funciones de seguimiento de conflictos, y el compromiso de una empresa de defensa en los Emiratos Árabes Unidos a través de un servidor SmartOffice CRM, seguido del despliegue de herramientas personalizadas de post-explotación y proxy inverso.
Los productos de ESET protegen los sistemas de nuestros clientes de las actividades maliciosas descritas en este informe. La inteligencia compartida aquí se basa principalmente en datos de telemetría patentados de ESET y ha sido verificada por investigadores de ESET.
Los informes de actividad de ESET APT contienen solo una fracción de los datos de inteligencia de ciberseguridad proporcionados en los informes de APT de ESET Threat Intelligence. Para obtener más información, visite el Inteligencia de amenazas de ESET sitio web.
Acerca del autor
