{"id":152,"date":"2026-03-17T13:18:30","date_gmt":"2026-03-17T13:18:30","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/17\/informe-de-actividad-de-eset-apt-del-segundo-trimestre-de-2025-al-tercer-trimestre-de-2025\/"},"modified":"2026-03-17T13:18:30","modified_gmt":"2026-03-17T13:18:30","slug":"informe-de-actividad-de-eset-apt-del-segundo-trimestre-de-2025-al-tercer-trimestre-de-2025","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/17\/informe-de-actividad-de-eset-apt-del-segundo-trimestre-de-2025-al-tercer-trimestre-de-2025\/","title":{"rendered":"Informe de actividad de ESET APT del segundo trimestre de 2025 al tercer trimestre de 2025"},"content":{"rendered":"
\n
\n

Investigaci\u00f3n ESET<\/p>\n

Informes de amenazas<\/p>\n<\/div>\n

Una descripci\u00f3n general de las actividades de grupos APT seleccionados investigados y analizados por ESET Research en el segundo y tercer trimestre de 2025<\/p>\n

\n
\"Jean-Ian<\/picture><\/div>\n<\/div>\n

\n 06 de noviembre de 2025<\/span>
\n \u2022 <\/span>
\n , <\/span>
\n 4 min. leer<\/span>\n <\/p>\n

\n \"Informe<\/picture> <\/div>\n<\/div>\n
\n

El Informe de actividad de ESET APT del segundo trimestre de 2025 al tercer trimestre de 2025 resume las actividades notables de grupos seleccionados de amenazas persistentes avanzadas (APT) que fueron documentadas por investigadores de ESET desde abril hasta septiembre de 2025. Las operaciones destacadas son representativas del panorama m\u00e1s amplio de amenazas que investigamos durante este per\u00edodo. Ilustran las tendencias y desarrollos clave y contienen solo una peque\u00f1a fracci\u00f3n de los datos de inteligencia de ciberseguridad proporcionados a los clientes de los informes ESET APT.<\/p>\n

Durante el per\u00edodo monitoreado, los grupos APT alineados con China continuaron avanzando en los objetivos geopol\u00edticos de Beijing. Observamos un uso cada vez mayor de la t\u00e9cnica del adversario en el medio tanto para el acceso inicial como para el movimiento lateral, empleada por grupos como PlushDaemon, SinisterEye, Evasive Panda y TheWizards. En lo que parece ser una respuesta al inter\u00e9s estrat\u00e9gico de la administraci\u00f3n Trump en Am\u00e9rica Latina, y posiblemente tambi\u00e9n influenciado por la actual lucha de poder entre Estados Unidos y China, FamousSparrow se embarc\u00f3 en una gira por Am\u00e9rica Latina, apuntando a m\u00faltiples entidades gubernamentales en la regi\u00f3n. Mustang Panda se mantuvo muy activo en el sudeste asi\u00e1tico, Estados Unidos y Europa, centr\u00e1ndose en los sectores gubernamental, de ingenier\u00eda y de transporte mar\u00edtimo. Flax Typhoon apunt\u00f3 al sector de la salud en Taiw\u00e1n explotando servidores web p\u00fablicos e implementando webshells para comprometer a sus v\u00edctimas. El grupo mantiene con frecuencia su infraestructura VPN SoftEther y tambi\u00e9n comenz\u00f3 a utilizar un proxy de c\u00f3digo abierto, BUUT. Mientras tanto, Speccom apunt\u00f3 al sector energ\u00e9tico en Asia Central con el presunto objetivo de ganar mayor visibilidad de las operaciones financiadas por China y reducir la dependencia de China de las importaciones mar\u00edtimas. Una de las puertas traseras del conjunto de herramientas del grupo, BLOODALCHEMY, parece ser favorecida por varios actores de amenazas alineados con China.<\/p>\n

Observamos un aumento continuo en las actividades de phishing de MuddyWater, alineada con Ir\u00e1n. El grupo adopt\u00f3 la t\u00e9cnica de enviar internamente correos electr\u00f3nicos de phishing (desde bandejas de entrada comprometidas dentro de la organizaci\u00f3n objetivo) con una tasa de \u00e9xito notablemente alta. Otros grupos alineados con Ir\u00e1n permanecieron activos: BladedFeline adopt\u00f3 una nueva infraestructura, mientras que GalaxyGato implement\u00f3 una puerta trasera C5 mejorada. GalaxyGato tambi\u00e9n introdujo un giro interesante en su campa\u00f1a al aprovechar el secuestro del orden de b\u00fasqueda de DLL para robar credenciales.<\/p>\n

Los actores de amenazas alineados con Corea del Norte apuntaron al sector de las criptomonedas y, en particular, expandieron sus operaciones a Uzbekist\u00e1n, un pa\u00eds que anteriormente no hab\u00eda sido observado en su alcance. En los \u00faltimos meses, hemos documentado varias campa\u00f1as nuevas llevadas a cabo por DeceivedDevelopment, Lazarus, Kimsuky y Konni, con el objetivo de espionaje, promover las prioridades geopol\u00edticas de Pyongyang y generar ingresos para el r\u00e9gimen. Kimsuky experiment\u00f3 con la t\u00e9cnica ClickFix para apuntar a entidades diplom\u00e1ticas y grupos de expertos y acad\u00e9micos de Corea del Sur, mientras que Konni utiliz\u00f3 ingenier\u00eda social con un enfoque inusual en sistemas macOS.<\/p>\n

Los grupos alineados con Rusia mantuvieron su enfoque en Ucrania y los pa\u00edses con v\u00ednculos estrat\u00e9gicos con Ucrania, al tiempo que expandieron sus operaciones a entidades europeas. El Spearphishing sigui\u00f3 siendo su principal m\u00e9todo de compromiso. En particular, RomCom aprovech\u00f3 una vulnerabilidad de d\u00eda cero en WinRAR para implementar archivos DLL maliciosos y ofrecer una variedad de puertas traseras. Informamos de esta vulnerabilidad a WinRAR, que la parch\u00f3 de inmediato. La actividad del grupo se centr\u00f3 principalmente en los sectores financiero, manufacturero, de defensa y log\u00edstico en la UE y Canad\u00e1. Gamaredon sigui\u00f3 siendo el grupo APT m\u00e1s activo en sus ataques a Ucrania, con un notable aumento en la intensidad y frecuencia de sus operaciones. Este aumento de la actividad coincidi\u00f3 con un raro caso de cooperaci\u00f3n entre grupos APT alineados con Rusia, cuando Gamaredon despleg\u00f3 selectivamente una de las puertas traseras de Turla. El conjunto de herramientas de Gamaredon, posiblemente tambi\u00e9n impulsado por la colaboraci\u00f3n, continu\u00f3 evolucionando, por ejemplo, mediante la incorporaci\u00f3n de nuevos ladrones de archivos o servicios de t\u00faneles.<\/p>\n

Sandworm, al igual que Gamaredon, se centr\u00f3 en Ucrania, aunque con motivos de destrucci\u00f3n m\u00e1s que de ciberespionaje. El grupo despleg\u00f3 limpiadores de datos (ZEROLOT, Sting) contra entidades gubernamentales, empresas de los sectores de energ\u00eda y log\u00edstica y, m\u00e1s notablemente, contra el sector de cereales, con el objetivo probable de debilitar la econom\u00eda ucraniana. Otro actor de amenazas alineado con Rusia, InedibleOchotense, llev\u00f3 a cabo una campa\u00f1a de phishing haci\u00e9ndose pasar por ESET. Esta campa\u00f1a involucr\u00f3 correos electr\u00f3nicos y mensajes de Signal que entregaban un instalador de ESET troyanizado que conduce a la descarga de un producto ESET leg\u00edtimo junto con la puerta trasera Kalambur.<\/p>\n

Finalmente, actividades notables de grupos menos conocidos incluyeron a FrostyNeighbor explotando una vulnerabilidad XSS en Roundcube. Las empresas polacas y lituanas fueron objeto de correos electr\u00f3nicos de phishing que se hac\u00edan pasar por empresas polacas. Los correos electr\u00f3nicos conten\u00edan un uso distintivo y una combinaci\u00f3n de vi\u00f1etas y emojis, una estructura que recuerda al contenido generado por IA, lo que sugiere un posible uso de IA en la campa\u00f1a. Las cargas \u00fatiles entregadas inclu\u00edan un ladr\u00f3n de credenciales y un ladr\u00f3n de mensajes de correo electr\u00f3nico. Tambi\u00e9n identificamos una familia de software esp\u00eda para Android previamente desconocida en Irak, a la que llamamos Wibag. Haci\u00e9ndose pasar por la aplicaci\u00f3n de YouTube, Wibag apunta a plataformas de mensajer\u00eda como Telegram y WhatsApp, as\u00ed como a Instagram, Facebook y Snapchat. Sus capacidades incluyen registro de teclas y exfiltraci\u00f3n de mensajes SMS, registros de llamadas, datos de ubicaci\u00f3n, contactos, grabaciones de pantalla y grabaciones de llamadas de WhatsApp y llamadas telef\u00f3nicas regulares. Curiosamente, la p\u00e1gina de inicio de sesi\u00f3n del panel de administraci\u00f3n del software esp\u00eda muestra el logotipo del Servicio de Seguridad Nacional Iraqu\u00ed.<\/p>\n

Los productos de ESET detectan las actividades maliciosas descritas en el Informe de actividad de ESET APT del segundo trimestre de 2025 al tercer trimestre de 2025; La inteligencia compartida se basa principalmente en datos de telemetr\u00eda patentados de ESET y ha sido verificada por investigadores de ESET.<\/p>\n

\"eset-apt-informe-de-actividad-q2-2025-q3-2025-pa\u00edses-y-sectores-objetivos\"
Pa\u00edses y sectores objetivo<\/em><\/figcaption><\/figure>\n
\"eset-apt-informe-de-actividad-q2-2025-q3-2025-pa\u00edses-y-sectores-objetivos-fuentes-de-ataque\"
Fuentes de ataque<\/em><\/figcaption><\/figure>\n
\n

Los informes de actividad de ESET APT contienen solo una fracci\u00f3n de los datos de inteligencia de ciberseguridad proporcionados en los informes de APT de ESET Threat Intelligence. Para obtener m\u00e1s informaci\u00f3n, visite el <\/em>Inteligencia de amenazas de ESET<\/em><\/a> sitio web.<\/em><\/p>\n<\/blockquote>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigaci\u00f3n ESET Informes de amenazas Una descripci\u00f3n general de las actividades de grupos APT seleccionados investigados y analizados<\/p>\n","protected":false},"author":1,"featured_media":153,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=152"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/153"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}