Informe de actividad de ESET APT del segundo trimestre de 2025 al tercer trimestre de 2025

Una descripción general de las actividades de grupos APT seleccionados investigados y analizados por ESET Research en el segundo y tercer trimestre de 2025

06 de noviembre de 2025
•
,
4 min. leer

El Informe de actividad de ESET APT del segundo trimestre de 2025 al tercer trimestre de 2025 resume las actividades notables de grupos seleccionados de amenazas persistentes avanzadas (APT) que fueron documentadas por investigadores de ESET desde abril hasta septiembre de 2025. Las operaciones destacadas son representativas del panorama más amplio de amenazas que investigamos durante este período. Ilustran las tendencias y desarrollos clave y contienen solo una pequeña fracción de los datos de inteligencia de ciberseguridad proporcionados a los clientes de los informes ESET APT.

Durante el período monitoreado, los grupos APT alineados con China continuaron avanzando en los objetivos geopolíticos de Beijing. Observamos un uso cada vez mayor de la técnica del adversario en el medio tanto para el acceso inicial como para el movimiento lateral, empleada por grupos como PlushDaemon, SinisterEye, Evasive Panda y TheWizards. En lo que parece ser una respuesta al interés estratégico de la administración Trump en América Latina, y posiblemente también influenciado por la actual lucha de poder entre Estados Unidos y China, FamousSparrow se embarcó en una gira por América Latina, apuntando a múltiples entidades gubernamentales en la región. Mustang Panda se mantuvo muy activo en el sudeste asiático, Estados Unidos y Europa, centrándose en los sectores gubernamental, de ingeniería y de transporte marítimo. Flax Typhoon apuntó al sector de la salud en Taiwán explotando servidores web públicos e implementando webshells para comprometer a sus víctimas. El grupo mantiene con frecuencia su infraestructura VPN SoftEther y también comenzó a utilizar un proxy de código abierto, BUUT. Mientras tanto, Speccom apuntó al sector energético en Asia Central con el presunto objetivo de ganar mayor visibilidad de las operaciones financiadas por China y reducir la dependencia de China de las importaciones marítimas. Una de las puertas traseras del conjunto de herramientas del grupo, BLOODALCHEMY, parece ser favorecida por varios actores de amenazas alineados con China.

Observamos un aumento continuo en las actividades de phishing de MuddyWater, alineada con Irán. El grupo adoptó la técnica de enviar internamente correos electrónicos de phishing (desde bandejas de entrada comprometidas dentro de la organización objetivo) con una tasa de éxito notablemente alta. Otros grupos alineados con Irán permanecieron activos: BladedFeline adoptó una nueva infraestructura, mientras que GalaxyGato implementó una puerta trasera C5 mejorada. GalaxyGato también introdujo un giro interesante en su campaña al aprovechar el secuestro del orden de búsqueda de DLL para robar credenciales.

Los actores de amenazas alineados con Corea del Norte apuntaron al sector de las criptomonedas y, en particular, expandieron sus operaciones a Uzbekistán, un país que anteriormente no había sido observado en su alcance. En los últimos meses, hemos documentado varias campañas nuevas llevadas a cabo por DeceivedDevelopment, Lazarus, Kimsuky y Konni, con el objetivo de espionaje, promover las prioridades geopolíticas de Pyongyang y generar ingresos para el régimen. Kimsuky experimentó con la técnica ClickFix para apuntar a entidades diplomáticas y grupos de expertos y académicos de Corea del Sur, mientras que Konni utilizó ingeniería social con un enfoque inusual en sistemas macOS.

Los grupos alineados con Rusia mantuvieron su enfoque en Ucrania y los países con vínculos estratégicos con Ucrania, al tiempo que expandieron sus operaciones a entidades europeas. El Spearphishing siguió siendo su principal método de compromiso. En particular, RomCom aprovechó una vulnerabilidad de día cero en WinRAR para implementar archivos DLL maliciosos y ofrecer una variedad de puertas traseras. Informamos de esta vulnerabilidad a WinRAR, que la parchó de inmediato. La actividad del grupo se centró principalmente en los sectores financiero, manufacturero, de defensa y logístico en la UE y Canadá. Gamaredon siguió siendo el grupo APT más activo en sus ataques a Ucrania, con un notable aumento en la intensidad y frecuencia de sus operaciones. Este aumento de la actividad coincidió con un raro caso de cooperación entre grupos APT alineados con Rusia, cuando Gamaredon desplegó selectivamente una de las puertas traseras de Turla. El conjunto de herramientas de Gamaredon, posiblemente también impulsado por la colaboración, continuó evolucionando, por ejemplo, mediante la incorporación de nuevos ladrones de archivos o servicios de túneles.

Sandworm, al igual que Gamaredon, se centró en Ucrania, aunque con motivos de destrucción más que de ciberespionaje. El grupo desplegó limpiadores de datos (ZEROLOT, Sting) contra entidades gubernamentales, empresas de los sectores de energía y logística y, más notablemente, contra el sector de cereales, con el objetivo probable de debilitar la economía ucraniana. Otro actor de amenazas alineado con Rusia, InedibleOchotense, llevó a cabo una campaña de phishing haciéndose pasar por ESET. Esta campaña involucró correos electrónicos y mensajes de Signal que entregaban un instalador de ESET troyanizado que conduce a la descarga de un producto ESET legítimo junto con la puerta trasera Kalambur.

Finalmente, actividades notables de grupos menos conocidos incluyeron a FrostyNeighbor explotando una vulnerabilidad XSS en Roundcube. Las empresas polacas y lituanas fueron objeto de correos electrónicos de phishing que se hacían pasar por empresas polacas. Los correos electrónicos contenían un uso distintivo y una combinación de viñetas y emojis, una estructura que recuerda al contenido generado por IA, lo que sugiere un posible uso de IA en la campaña. Las cargas útiles entregadas incluían un ladrón de credenciales y un ladrón de mensajes de correo electrónico. También identificamos una familia de software espía para Android previamente desconocida en Irak, a la que llamamos Wibag. Haciéndose pasar por la aplicación de YouTube, Wibag apunta a plataformas de mensajería como Telegram y WhatsApp, así como a Instagram, Facebook y Snapchat. Sus capacidades incluyen registro de teclas y exfiltración de mensajes SMS, registros de llamadas, datos de ubicación, contactos, grabaciones de pantalla y grabaciones de llamadas de WhatsApp y llamadas telefónicas regulares. Curiosamente, la página de inicio de sesión del panel de administración del software espía muestra el logotipo del Servicio de Seguridad Nacional Iraquí.

Los productos de ESET detectan las actividades maliciosas descritas en el Informe de actividad de ESET APT del segundo trimestre de 2025 al tercer trimestre de 2025; La inteligencia compartida se basa principalmente en datos de telemetría patentados de ESET y ha sido verificada por investigadores de ESET.

Los informes de actividad de ESET APT contienen solo una fracción de los datos de inteligencia de ciberseguridad proporcionados en los informes de APT de ESET Threat Intelligence. Para obtener más información, visite el Inteligencia de amenazas de ESET sitio web.