ESET Research ha publicado su último Informe de Actividad APT, en el que documenta las operaciones de múltiples grupos de amenazas persistentes avanzadas (APT) entre octubre de 2024 y marzo de 2025. El análisis destaca una intensificación significativa de las actividades cibernéticas de grupos alineados con Rusia, así como una evolución en las tácticas de espionaje empleadas por actores vinculados a China, Corea del Norte e Irán. Los datos del informe muestran una tendencia creciente hacia ataques destructivos, campañas dirigidas a sectores estratégicos como el energético y tecnológico, y el aprovechamiento de vulnerabilidades de día cero para comprometer infraestructuras críticas y entidades gubernamentales.

Rusia: ofensiva digital contra Ucrania y la Unión Europea

Durante el período analizado, los grupos Sednit, Gamaredon y Sandworm mantuvieron campañas agresivas dirigidas principalmente contra Ucrania y países de la Unión Europea. Ucrania fue el país más afectado, con ataques focalizados en infraestructuras críticas e instituciones gubernamentales.

El grupo Sandworm desplegó un nuevo malware destructivo tipo wiper, denominado ZEROLOT, contra empresas energéticas ucranianas. “El infame grupo Sandworm se centró intensamente en comprometer la infraestructura energética de Ucrania. En casos recientes, desplegó el malware destructivo ZEROLOT en territorio ucraniano. Para ello, los atacantes abusaron de las Políticas de Grupo de Active Directory en las organizaciones afectadas”, explica Jean-Ian Boutin, Director de Investigación de Amenazas en ESET.

Gamaredon se mantuvo como el actor más activo en la región, mejorando técnicas de ofuscación y utilizando PteroBox, un ladrón de archivos que se vale de Dropbox. Por su parte, Sednit amplió la llamada Operación RoundPress, explotando vulnerabilidades cross-site scripting en servicios de correo web como Horde, MDaemon y Zimbra. Se identificó el uso de una vulnerabilidad de día cero (CVE-2024-11182) en MDaemon para atacar empresas ucranianas. Varios ataques de Sednit contra compañías del sector defensa en Bulgaria y Ucrania utilizaron campañas de spearphishing como método de engaño.

Además, el grupo alineado con Rusia RomCom empleó exploits de día cero contra Mozilla Firefox (CVE-2024-9680) y Microsoft Windows (CVE-2024-49039), demostrando capacidades avanzadas.

China: espionaje sostenido a gobiernos y empresas en Europa y Asia

En Asia, los grupos APT alineados con China continuaron sus campañas dirigidas contra instituciones gubernamentales y académicas. Grupos como Mustang Panda, DigitalRecyclers y Webworm, mantuvieron campañas persistentes contra instituciones gubernamentales, universidades y compañías del sector marítimo.

Mustang Panda utilizó loaders de Korplug y unidades USB maliciosas para atacar entidades de transporte marítimo. DigitalRecyclers continuó usando la red de anonimización KMA VPN y desplegó backdoors como RClient, HydroRShell y GiftBox en instituciones de la Unión Europea. ESET también identificó el uso del nuevo backdoor de espionaje NanoSlate por parte del grupo PerplexedGoblin contra una entidad gubernamental de Europa Central. Por su parte, Webworm atacó a una organización gubernamental de Serbia utilizando SoftEther VPN, lo que pone de manifiesto la continua popularidad de esta herramienta entre los grupos alineados con China.

Corea del Norte: ofensiva económica y variaciones operativas

En otras regiones de Asia, los actores de amenazas alineados con Corea del Norte estuvieron especialmente activos en campañas con fines financieros. El informe destaca el grupo DeceptiveDevelopment, que expandió su radio de acción a través de ofertas de empleo falsas dirigidas a sectores como criptomonedas, blockchain y finanzas, utilizando técnicas de ingeniería social para distribuir el malware multiplataforma WeaselStore. Por otro lado, el robo de criptomonedas a Bybit, atribuido por el FBI al grupo TraderTraitor, implicó un compromiso en la cadena de suministro de Safe{Wallet}, con pérdidas estimadas de 1.500 millones de dólares.

Irán: continuidad de objetivos en Oriente Medio

Los grupos APT alineados con Irán mantuvieron su enfoque principal en la región de Oriente Medio, dirigiéndose predominantemente a organizaciones gubernamentales y entidades de los sectores de la fabricación y la ingeniería en Israel. Además, ESET observó un aumento significativo a nivel global en los ciberataques contra empresas tecnológicas, incremento que se atribuye en gran medida a la mayor actividad del grupo DeceptiveDevelopment, alineado con Corea del Norte.

Inteligencia estratégica para la protección global

“Las operaciones destacadas son representativas del panorama de amenazas más amplio que investigamos durante este período. Reflejan las principales tendencias y desarrollos, y representan solo una pequeña parte de los datos de inteligencia en ciberseguridad que se proporcionan a los clientes de los informes APT de ESET,” añade Boutin.