{"id":349,"date":"2026-05-29T07:36:00","date_gmt":"2026-05-29T07:36:00","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/05\/29\/informe-de-actividad-de-eset-apt-del-cuarto-trimestre-de-2025-al-primer-trimestre-de-2026\/"},"modified":"2026-05-29T07:36:00","modified_gmt":"2026-05-29T07:36:00","slug":"informe-de-actividad-de-eset-apt-del-cuarto-trimestre-de-2025-al-primer-trimestre-de-2026","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/05\/29\/informe-de-actividad-de-eset-apt-del-cuarto-trimestre-de-2025-al-primer-trimestre-de-2026\/","title":{"rendered":"Informe de actividad de ESET APT del cuarto trimestre de 2025 al primer trimestre de 2026"},"content":{"rendered":"
\n
\n

Investigaci\u00f3n ESET<\/p>\n

Informes de amenazas<\/p>\n<\/div>\n

Una descripci\u00f3n general de las actividades de grupos APT seleccionados investigados y analizados por ESET Research en el cuarto trimestre de 2025 y el primer trimestre de 2026.<\/p>\n

\n
\"Jean-Ian<\/picture><\/div>\n<\/div>\n

\n 28 de mayo de 2026<\/span>
\n \u2022 <\/span>
\n , <\/span>
\n 4 min. leer<\/span>\n <\/p>\n

\n \"Informe<\/picture> <\/div>\n<\/div>\n
\n

El Informe de actividad de ESET APT del cuarto trimestre de 2025 al primer trimestre de 2026 resume las actividades notables de grupos seleccionados de amenazas persistentes avanzadas (APT) documentadas por investigadores de ESET desde octubre de 2025 hasta marzo de 2026. Las operaciones destacadas aqu\u00ed son representativas del panorama de amenazas m\u00e1s amplio que investigamos durante este per\u00edodo, ilustran tendencias y desarrollos clave, y contienen solo una fracci\u00f3n de los datos de inteligencia de ciberseguridad proporcionados a los clientes de los informes APT de ESET Threat Intelligence.<\/p>\n

Durante el per\u00edodo monitoreado, los actores de amenazas alineados con China permanecieron muy activos en todo el mundo, llevando a cabo campa\u00f1as de espionaje moldeadas en parte por acontecimientos geopol\u00edticos que afectan los intereses econ\u00f3micos y de seguridad de Beijing. Despu\u00e9s de la operaci\u00f3n militar estadounidense en Venezuela y en medio de la continua inestabilidad en la regi\u00f3n del Golfo, detectamos se\u00f1ales de que grupos alineados con China se estaban movilizando para mejorar la visibilidad de Beijing sobre los acontecimientos mar\u00edtimos, energ\u00e9ticos y pol\u00edticos en el extranjero. En un caso notable, FamousSparrow apunt\u00f3 a una entidad gubernamental venezolana relacionada con asuntos mar\u00edtimos, que probablemente monitorear\u00eda la resistencia de los env\u00edos de petr\u00f3leo despu\u00e9s de la intervenci\u00f3n estadounidense. Tambi\u00e9n notamos que SteppeDriver apuntaba a una red gubernamental siria, actividad que puede reflejar tanto el inter\u00e9s comercial chino en los proyectos de reconstrucci\u00f3n de Siria como las preocupaciones de seguridad que rodean a los combatientes uigures presentes en ese pa\u00eds. En VirusTotal encontramos PhiliKit, un nuevo implante que evaluamos como parte del conjunto de herramientas SPAWN de UNC5221 dirigido a dispositivos VPN de Ivanti, mientras que nuestro seguimiento de NegativeGlimmer revel\u00f3 que el grupo compromete entidades gubernamentales en Camboya y Panam\u00e1, as\u00ed como una empresa de inteligencia artificial y rob\u00f3tica en Corea del Sur. Este \u00faltimo objetivo en Corea del Sur se alinea con el inter\u00e9s duradero de Beijing en tecnolog\u00edas estrat\u00e9gicas priorizadas bajo la pol\u00edtica de desarrollo industrial Made in China 2025.<\/p>\n

La guerra en Ir\u00e1n que comenz\u00f3 a finales de febrero de 2026 fue el acontecimiento definitorio de la actividad alineada con Ir\u00e1n durante este per\u00edodo. Parad\u00f3jicamente, el conflicto coincidi\u00f3 con una disminuci\u00f3n en la actividad de los grupos APT establecidos alineados con Ir\u00e1n en nuestra telemetr\u00eda, muy probablemente porque las restricciones de Internet impuestas por el r\u00e9gimen iran\u00ed obstaculizaron su capacidad para operar con eficacia. Al mismo tiempo, este entorno parece haber favorecido la movilizaci\u00f3n de actores proxy y hacktivistas dirigidos a Israel, Estados Unidos y otros Estados considerados hostiles a Teher\u00e1n. Tambi\u00e9n documentamos un aumento inusual en la actividad contra objetivos israel\u00edes que no pudimos vincular con seguridad con grupos previamente conocidos. Dos grupos de actividades no atribuidas, Rusty Boots y MoKhargosh, demostraron capacidades de espionaje y potencial destructivo (incluido el despliegue de un limpiador estilo bootkit y la conservaci\u00f3n de herramientas destructivas para su uso posterior), mientras que un tercero, MO\u00d8N Badr, parece haberse limitado al espionaje dirigido.<\/p>\n

Los actores de amenazas alineados con Corea del Norte permanecieron activos en varios frentes. M\u00faltiples grupos continuaron apuntando a los desarrolladores y al ecosistema de criptomonedas con esquemas de ingenier\u00eda social que pueden generar ganancias financieras directas y oportunidades para comprometer la cadena de suministro de software. Lazarus y DeceivedDevelopment continuaron invirtiendo en la construcci\u00f3n de relaciones a largo plazo con objetivos de alto valor, mientras que Kimsuky y Konni favorecieron ataques m\u00e1s r\u00e1pidos y oportunistas. Tambi\u00e9n descubrimos el resurgimiento de Andariel en Corea del Sur, donde el grupo implement\u00f3 TigerRAT e intent\u00f3 difundir el ransomware Rook dentro de una empresa de ingenier\u00eda que parece fabricar equipos relevantes para el manejo de hidr\u00f3geno l\u00edquido y la industria nuclear, tecnolog\u00edas que obviamente son de inter\u00e9s para las ambiciones bal\u00edsticas y nucleares de Pyongyang.<\/p>\n

Tambi\u00e9n hicimos un seguimiento de la evoluci\u00f3n continua de las campa\u00f1as de Lazarus, incluidas Operation DreamJob y Operation DangerousPassword. Los primeros apuntaban a los fabricantes europeos de drones; esto \u00faltimo llev\u00f3 al compromiso de la biblioteca JavaScript ampliamente utilizada axios, que tiene m\u00e1s de 100 millones de descargas semanales en el registro npm y es fundamental para las aplicaciones web y m\u00f3viles en todo el mundo. Los atacantes aprovecharon las credenciales comprometidas del mantenedor principal para publicar versiones maliciosas de la biblioteca que inyectaban c\u00f3digo troyanizado en los sistemas afectados, antes de ser detectados y eliminados. Paralelamente, ScarCruft comprometi\u00f3 una plataforma de juegos que presta servicios en la regi\u00f3n de Yanbian en China, probablemente para recopilar informaci\u00f3n de inteligencia sobre personas de inter\u00e9s para el r\u00e9gimen de Corea del Norte, incluidos refugiados y desertores.<\/p>\n

Los actores de amenazas alineados con Rusia continuaron centr\u00e1ndose abrumadoramente en Ucrania y las entidades conectadas con los esfuerzos de defensa del pa\u00eds. Sednit despleg\u00f3 sus implantes Covenant y BeardShell contra personal militar ucraniano, fabricantes de drones y organizaciones involucradas en la investigaci\u00f3n y el desarrollo de drones, y tambi\u00e9n contra empresas de log\u00edstica y transporte fuera de Ucrania. Sandworm intensific\u00f3 su actividad destructiva durante el invierno, desplegando varios limpiaparabrisas nuevos en Ucrania contra objetivos gubernamentales y del sector privado. Particularmente notable fue un incidente de destrucci\u00f3n de datos ocurrido en diciembre de 2025 que afect\u00f3 a una empresa energ\u00e9tica polaca, que atribuimos a Sandworm con un nivel de confianza medio. Aunque los ataques destructivos por parte de actores alineados con Rusia fuera de Ucrania siguen siendo poco comunes, este caso se destaca porque afect\u00f3 infraestructura cr\u00edtica en un estado miembro de la OTAN. Dado el papel de Polonia a la hora de ayudar a estabilizar el suministro el\u00e9ctrico de Ucrania, es posible que la operaci\u00f3n tuviera como objetivo sobrecargar la red el\u00e9ctrica de Ucrania durante el invierno.<\/p>\n

Tambi\u00e9n realizamos un seguimiento de varias campa\u00f1as destacadas de grupos menos conocidos y no atribuidos. Estos incluyen un ataque de phishing de navegador en el navegador contra un grupo de expertos japon\u00e9s, software esp\u00eda de Android al que llamamos Asin y que se dirige a usuarios de habla \u00e1rabe a trav\u00e9s de aplicaciones que afirman ofrecer funciones de seguimiento de conflictos, y el compromiso de una empresa de defensa en los Emiratos \u00c1rabes Unidos a trav\u00e9s de un servidor SmartOffice CRM, seguido del despliegue de herramientas personalizadas de post-explotaci\u00f3n y proxy inverso.<\/p>\n

Los productos de ESET protegen los sistemas de nuestros clientes de las actividades maliciosas descritas en este informe. La inteligencia compartida aqu\u00ed se basa principalmente en datos de telemetr\u00eda patentados de ESET y ha sido verificada por investigadores de ESET.<\/p>\n

\"Figura
Pa\u00edses y sectores objetivo<\/em><\/figcaption><\/figure>\n
\"Figura
Fuentes de ataque<\/em><\/figcaption><\/figure>\n
\n

Los informes de actividad de ESET APT contienen solo una fracci\u00f3n de los datos de inteligencia de ciberseguridad proporcionados en los informes de APT de ESET Threat Intelligence. Para obtener m\u00e1s informaci\u00f3n, visite el <\/em>Inteligencia de amenazas de ESET<\/em><\/a> sitio web.<\/em><\/p>\n<\/blockquote>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigaci\u00f3n ESET Informes de amenazas Una descripci\u00f3n general de las actividades de grupos APT seleccionados investigados y analizados<\/p>\n","protected":false},"author":1,"featured_media":350,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-349","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=349"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/349\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/350"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}