Evite la apropiación de cuentas con las credenciales de sesión vinculadas al dispositivo (DBSC), ahora disponibles de forma generalizada en el navegador Chrome para Windows
Mayo 28, 2026
Convierta sus diapositivas cifradas del lado del cliente después de una exportación de Vault o Takeout
Mayo 29, 2026
Una visión general de las actividades de los grupos APT seleccionados investigados y analizados por ESET Research en el cuarto trimestre de 2025 y el primer trimestre de 2026
28 May 2026
•
,
6 min. read
El Reporte de Actividad APT de ESET Q4 2025–Q1 2026 resume las actividades destacadas de grupos seleccionados de amenazas persistentes avanzadas (APT) documentadas por los investigadores de ESET entre octubre de 2025 y marzo de 2026. Las operaciones aquí expuestas son representativas del panorama de amenazas más amplio que investigamos durante este período, ilustran tendencias y desarrollos clave, y contienen solo una fracción de los datos de inteligencia de ciberseguridad proporcionados a los clientes de los informes APT de ESET Threat Intelligence.
Durante el período monitoreado, los actores de amenazas alineados con China se mantuvieron altamente activos a nivel mundial, llevando a cabo campañas de ciberespionaje en parte moldeadas por desarrollos geopolíticos que afectan los intereses económicos y de seguridad de Pekín. Tras la operación militar de EE. UU. en Venezuela y en medio de la continua inestabilidad en la región del Golfo, observamos indicios de que grupos alineados con China estaban siendo movilizados para mejorar la visibilidad de Pekín sobre desarrollos marítimos, energéticos y políticos en el extranjero. En un caso destacado, FamousSparrow apuntó a una entidad gubernamental venezolana relacionada con asuntos marítimos, probablemente para monitorear la resiliencia de los envíos de petróleo tras la intervención de estadounidense.
También observamos a SteppeDriver apuntando a una red gubernamental en Siria, una actividad que podría reflejar tanto el interés comercial chino en los proyectos de reconstrucción de ese país como preocupaciones de seguridad en torno a combatientes uigures presentes allí. En VirusTotal identificamos PhiliKit, un nuevo implante que evaluamos como parte del conjunto de herramientas SPAWN de UNC5221, orientado a dispositivos VPN de Ivanti. Asimismo, nuestro seguimiento de NegativeGlimmer reveló compromisos en entidades gubernamentales en Camboya y Panamá, así como en una empresa de IA y robótica en Corea del Sur. Este último objetivo en Corea del Sur se alinea con el interés sostenido de Pekín en tecnologías estratégicas priorizadas en la política industrial Made in China 2025.
La guerra en Irán que comenzó a fines de febrero de 2026 fue el evento definitorio para la actividad alineada con Irán durante este período. Paradójicamente, el conflicto coincidió con una disminución de la actividad de grupos APT alineados con Irán ya establecidos en nuestra telemetría, probablemente porque las restricciones de internet impuestas por el régimen iraní dificultaron su capacidad para operar de manera efectiva. Al mismo tiempo, este entorno parece haber favorecido la movilización de actores proxy y hacktivistas que apuntaron contra Israel, Estados Unidos y otros estados considerados hostiles a Teherán. También documentamos un aumento inusual de la actividad contra objetivos israelíes que no pudimos vincular con confianza a grupos previamente conocidos. Dos clústeres de actividad no atribuidos, Rusty Boots y MoKhargosh, demostraron tanto capacidades de ciberespionaje como potencial destructivo —incluido el despliegue de un wiper tipo bootkit y la retención de herramientas destructivas para su uso posterior—, mientras que un tercero, MOØN Badr, parece haber estado limitado a ciberespionaje dirigido.
Actores de amenazas alineados con Corea del Norte se mantuvieron activos en varios frentes. Múltiples grupos continuaron apuntando a desarrolladores y al ecosistema de criptomonedas mediante esquemas de ingeniería social que pueden generar tanto beneficios financieros directos como oportunidades para comprometer la cadena de suministro de software. Lazarus y DeceptiveDevelopment continuaron invirtiendo en la construcción de relaciones a largo plazo con objetivos de alto valor, mientras que Kimsuky y Konni favorecieron ataques más rápidos y oportunistas. También detectamos el resurgimiento de Andariel en Corea del Sur, donde el grupo desplegó TigerRAT e intentó propagar el ransomware Rook dentro de una empresa de ingeniería que aparentemente fabrica equipos relevantes para el manejo de hidrógeno líquido y la industria nuclear, tecnologías que claramente son de interés para las ambiciones balísticas y nucleares de Pyongyang.
También seguimos la evolución continua de campañas de Lazarus, incluidas Operation DreamJob y Operation DangerousPassword. La primera apuntó a fabricantes europeos de drones; la segunda llevó al compromiso de la ampliamente utilizada librería JavaScript axios, que cuenta con más de 100 millones de descargas semanales en el registro npm y es crítica para aplicaciones web y móviles en todo el mundo. Los atacantes explotaron las credenciales comprometidas del mantenedor principal para publicar versiones maliciosas de la librería que inyectaban código troyanizado en los sistemas afectados, antes de ser detectadas y eliminadas. En paralelo, ScarCruft comprometió una plataforma de gaming que presta servicio a la región de Yanbian en China, probablemente para recolectar inteligencia sobre individuos de interés para el régimen norcoreano, incluidos refugiados y desertores.
Actores de amenazas alineados con Rusia continuaron enfocándose de manera abrumadora en Ucrania y en entidades vinculadas a los esfuerzos de defensa del país. Sednit desplegó sus implantes Covenant y BeardShell contra personal militar ucraniano, fabricantes de drones y organizaciones involucradas en investigación y desarrollo de drones, al tiempo que también apuntó a empresas de logística y transporte fuera de Ucrania. Sandworm intensificó la actividad destructiva durante el invierno, desplegando varios nuevos wipers en Ucrania contra objetivos del sector gubernamental y privado.Particularmente notable fue un incidente de destrucción de datos en diciembre de 2025 que afectó a una empresa energética polaca, que atribuimos a Sandworm con confianza media. Aunque los ataques destructivos por parte de actores alineados con Rusia fuera de Ucrania siguen siendo poco frecuentes, este caso se destaca por haber afectado infraestructura crítica en un estado miembro de la OTAN. Dado el rol de Polonia en ayudar a estabilizar el suministro eléctrico de Ucrania, es posible que la operación haya tenido como objetivo presionar la red eléctrica ucraniana durante el invierno.
También rastreamos varias campañas destacadas de clústeres menos conocidos y no atribuidos. Entre ellas se incluyen un ataque de phishing tipo browser-in-the-browser contra un think tank japonés, un spyware para Android al que denominamos Asin, que apunta a usuarios de habla árabe mediante apps que afirman ofrecer funcionalidades de seguimiento de conflictos, y el compromiso de una empresa de defensa en los Emiratos Árabes Unidos a través de un servidor CRM SmartOffice, seguido del despliegue de herramientas personalizadas de post-explotación y de reverse proxy.
Los productos de ESET protegen los sistemas de nuestros clientes frente a las actividades maliciosas descritas en este reporte. La inteligencia compartida aquí se basa principalmente en datos de telemetría propios de ESET y ha sido verificada por el equipo de investigación de ESET.
Los ESET APT Activity Reports contienen solo una fracción de los datos de inteligencia de ciberseguridad incluidos en los ESET Threat Intelligence APT Reports. Para más información, visite el sitio webde ESET Threat Intelligence.
¡Para todos nuestros lectores!
Aprovechen esta oportunidad de obtener un trial gratuito de 30 días para Google Workspace, la mejor solución para tu empresa. Disfruta de todas sus funcionalidades, como correo electrónico personalizado, almacenamiento en la nube y herramientas de colaboración.
