El equipo de investigación de Kaspersky ha identificado una evolución significativa en las técnicas del grupo APT ToddyCat, que ha logrado acceder de forma encubierta a correos electrónicos corporativos mediante herramientas avanzadas para interceptar contraseñas, cookies y mensajes de Outlook, incluso en entornos monitorizados.

Kaspersky lleva tiempo tras la pista de ToddyCat. En 2023 ya advirtió sobre sus capacidades de persistencia y movimiento lateral en redes corporativas. Desde entonces, el grupo no ha dejado de perfeccionar sus herramientas y estrategias, lo que confirma una evolución constante y una amenaza activa para múltiples sectores. Aunque en España no se han registrado incidentes atribuidos directamente a esta APT, países vecinos como Reino Unido sí han sido objetivo de sus campañas. Dado que sus ciberataques suelen dirigirse a organismos públicos, empresas tecnológicas, entidades diplomáticas y proveedores de servicios con infraestructuras críticas, no se descarta que las instituciones españolas puedan situarse en su punto de mira en el futuro.

En su actividad más reciente, durante la segunda mitad de 2024 y principios de 2025, ToddyCat ha afinado aún más sus métodos para infiltrarse en redes corporativas, robar información privada y evadir las herramientas de detección de las empresas. Entre sus tácticas destaca una nueva versión de su herramienta llamada TomBerBil, que recopila datos guardados en los navegadores de los empleados (como contraseñas, cookies o historial de navegación). Esta herramienta aprovecha accesos compartidos dentro de la red de la empresa para obtener los datos y además es capaz de capturar las claves necesarias para descifrar esa información posteriormente, todo sin que el usuario lo perciba.

Cuando las herramientas de seguridad bloquean ese tipo de actividad, el grupo cambia de táctica. En este caso, ha utilizado una herramienta llamada TCSectorCopy, que permite copiar archivos del sistema, aunque estén en uso y, por tanto, normalmente bloqueados. Con ella, ToddyCat accede a los archivos locales donde Outlook guarda los correos electrónicos, contactos y archivos adjuntos, incluso si el programa está abierto. Para leer toda esa información, utilizan un segundo programa llamado XstReader, que permite extraer y visualizar todo el contenido robado.

Pero ToddyCat no se limita a robar datos almacenados. También han comenzado a acceder al correo en la nube de plataformas como Microsoft 365, sin necesidad de robar contraseñas. En lugar de eso, buscan pequeños “tokens” (códigos digitales temporales que permiten a los usuarios seguir conectados a sus cuentas sin volver a introducir su contraseña) que se almacenan en la memoria del ordenador mientras se usan estas aplicaciones. Con herramientas como SharpTokenFinder o ProcDump, consiguen copiar esa memoria y recuperar los tokens, lo que les permite entrar directamente en los buzones de correo desde fuera de la red corporativa, saltándose las medidas de seguridad tradicionales.

“ToddyCat está demostrando una capacidad notable para reinventar sus métodos y esquivar los sistemas de defensa de las organizaciones. Utilizan una combinación de herramientas propias y legítimas, y saben elegir bien el momento y lugar para actuar con sigilo”, afirma Andrey Gunkin Senior Malware Analyst de Kaspersky.