ESET ha publicado su informe de actividad APT (Amenazas Persistentes Avanzadas) correspondiente al segundo y tercer trimestre de 2025. Este informe detalla las actividades más relevantes de diversos grupos APT monitorizados por los investigadores de ESET entre abril y septiembre de 2025. Si bien el informe completo ofrece una visión mucho más extensa, los puntos clave destacados nos dan una idea clara de las tendencias y evoluciones en el mundo de la ciberseguridad.
Tendencias clave observadas
Durante el periodo analizado, se observaron las siguientes tendencias generales:
- China: Los grupos APT alineados con China continuaron persiguiendo los objetivos geopolíticos de Beijing. Se ha detectado un mayor uso de la técnica del adversario en el medio para el acceso inicial y el movimiento lateral, por grupos como PlushDaemon, SinisterEye, Evasive Panda y TheWizards.
- Irán: Aumento en las campañas de spearphishing por parte de MuddyWater, usando correos electrónicos internos comprometidos dentro de las organizaciones objetivo para aumentar la tasa de éxito.
- Corea del Norte: Los actores de amenazas norcoreanos se centraron en el sector de las criptomonedas y expandieron sus operaciones a Uzbekistán.
- Rusia: Los grupos alineados con Rusia mantuvieron su enfoque en Ucrania y países con lazos estratégicos con este país, expandiéndose también a entidades europeas. El spearphishing siguió siendo su método principal de compromiso.
Casos concretos y nuevas tácticas
El informe de ESET también destaca casos específicos y la evolución de las tácticas utilizadas por los diferentes grupos APT:
- FamousSparrow: Este grupo se centró en entidades gubernamentales de Latinoamérica.
- Mustang Panda: Alta actividad en el Sudeste Asiático, Estados Unidos y Europa, apuntando a los sectores gubernamental, de ingeniería y de transporte marítimo.
- Flax Typhoon: Atacó el sector de la salud en Taiwán explotando servidores web públicos e implementando webshells para comprometer a sus víctimas.
- RomCom: Explotó una vulnerabilidad de día cero en WinRAR para desplegar DLLs maliciosas. ESET reportó esta vulnerabilidad, que fue rápidamente parcheada.
- Gamaredon: Incrementó la intensidad y frecuencia de sus operaciones contra Ucrania, incluso colaborando con el grupo Turla.
- Sandworm: Desplegó wipers de datos (ZEROLOT, Sting) contra entidades gubernamentales, empresas de energía y logística, y el sector del grano en Ucrania, con el objetivo de debilitar la economía ucraniana.
- InedibleOchotense: Realizó una campaña de spearphishing haciéndose pasar por ESET, distribuyendo un instalador troyanizado de ESET que descargaba un producto legítimo junto con la backdoor Kalambur.
Nuevos actores y técnicas emergentes
Además de los grupos APT ya conocidos, el informe de ESET también identificó actividades notables de grupos menos conocidos y nuevas técnicas:
- FrostyNeighbor: Explotó una vulnerabilidad XSS en Roundcube.
- Se detectó el uso de contenido generado por IA en campañas de spearphishing dirigidas a empresas polacas y lituanas.
- Se identificó una nueva familia de spyware para Android en Irak, llamada Wibag, que se hace pasar por la aplicación de YouTube y apunta a plataformas de mensajería y redes sociales.
¿Por qué es importante este informe?
El informe de actividad APT de ESET proporciona información valiosa sobre el panorama actual de las amenazas cibernéticas. Permite a las organizaciones comprender mejor las tácticas, técnicas y procedimientos (TTPs) de los grupos APT, lo que les ayuda a mejorar sus defensas y protegerse contra futuros ataques. Además, la identificación de nuevas amenazas y técnicas emergentes permite a la industria de la ciberseguridad adaptarse y desarrollar soluciones más eficaces.