Kaspersky ha identificado una nueva campaña de ciberespionaje llevada a cabo por el grupo APT conocido como Librarian Ghouls (también llamado “Rare Werewolf” o “Rezet”), que ha intensificado sus operaciones en 2025 contra organizaciones en Rusia y países de la Comunidad de Estados Independientes (CEI). Este grupo destaca por un enfoque muy particular: reutiliza software legítimo como si fuera malware, lo que le permite infiltrarse en sistemas sin levantar sospechas.

La campaña, activa desde diciembre de 2024, comienza con correos electrónicos de phishing que simulan contener documentos financieros. Al abrir el archivo, se activa un conjunto de scripts que da paso a la instalación de herramientas como AnyDesk, que permiten a los atacantes conectarse remotamente al equipo. Además, desactivan los sistemas de protección del ordenador y se instala un minero de criptomonedas, todo de manera automatizada y sin intervención del usuario.

“Lo más preocupante de este grupo es su capacidad para aprovechar herramientas completamente legales, como Blat, curl o WinRAR, en un contexto malicioso. Esta estrategia les permite evitar muchos sistemas de detección convencionales y operar con una precisión quirúrgica. Además, programan los equipos para que se enciendan automáticamente de madrugada, ejecuten los comandos mientras el usuario duerme, y se apaguen antes del horario laboral. Es un ataque silencioso y muy bien pensado”, afirma Marc Rivero, Lead Security Researcher de Kaspersky.

Uno de los aspectos más llamativos de esta campaña es su eficiencia: los sistemas infectados se programan para activarse entre la 1:00 y las 5:00 de la madrugada, momento en el que se produce la conexión remota, la recolección de archivos confidenciales (como documentos financieros o credenciales almacenadas en el navegador) y el uso del equipo para minar criptomonedas. Al finalizar el proceso, el ordenador se apaga de nuevo, dejando pocos rastros visibles para el usuario.

Librarian Ghouls también demuestra una clara orientación hacia objetivos económicos. No solo sustrae documentos sensibles, sino que presta especial atención a usuarios con monederos de criptomonedas o acceso a sistemas corporativos. El uso de herramientas como Defender Control, que permite desactivar Windows Defender, pone de manifiesto su elevado conocimiento técnico y su intención de mantener las operaciones activas el mayor tiempo posible sin ser detectados. Hasta el momento, Kaspersky ha identificado cientos de infecciones en organizaciones industriales y educativas, así como entre profesionales con perfil técnico. El grupo continúa activo y adaptando su infraestructura y herramientas, lo que indica que seguirá siendo una amenaza relevante en los próximos meses.