ESET APT Informe de actividad T4 2024 – Q1 2025 resume actividades notables de grupos de amenaza persistente avanzada (APT) seleccionadas que fueron documentados por los investigadores de ESET desde octubre de 2024 hasta finales de marzo de 2025. Informes privados de Apt. Durante el período monitoreado, los actores de amenaza alineados en China continuaron participando en campañas de espionaje persistentes con un enfoque en las organizaciones europeas. Mustang Panda siguió siendo el más activo, dirigido a instituciones gubernamentales y compañías de transporte marítimo a través de cargadores de Korplug y unidades USB maliciosas. Los recicladores digitales continuaron atacando a las entidades gubernamentales de la UE, empleando la red de anonimato de KMA VPN y desplegando las puertas traseras RClient, HydrorShell y Giftbox. Perplexedgoblin usó su nueva puerta trasera de espionaje, que llamamos Nanoslate, contra una entidad del gobierno de Europa Central, mientras que Webworm atacó a una organización del gobierno serbio utilizando VPN suave, enfatizando la popularidad continua de esta herramienta entre los grupos alineados por China. Además, creemos que un clúster de shadowpad que puede implementar esporádicamente ransomware para obtener ganancias financieras se dedica principalmente al espionaje. También destacamos el uso frecuente de Worok de los conjuntos de herramientas de espionaje compartidos como HDMan, Phantomnet y Sonifake, abordando varias atribuciones de campañas de terceros inconsistentes que involucran estas herramientas a otros grupos. Los actores de amenaza alineados en Irán permanecieron muy activos, liderados por Muddywater, que frecuentemente aprovechó el software de monitoreo y gestión remota (RMM) en ataques de lanza. En particular, Muddywater colaboró estrechamente con Lyceum, un subgrupo OilRig, para atacar a una empresa de fabricación israelí. Bladedfeline revisó a su víctima anterior, una compañía de telecomunicaciones en Uzbekistán, coincidiendo con la divulgación diplomática de Irán. Cybertoufan realizó operaciones destructivas, desplegando un ataque de limpiaparabrisas contra múltiples organizaciones en Israel. Los actores de amenaza alineados en Corea del Norte fueron particularmente activos en campañas de motivación financiera. El desarrollo engañado amplió significativamente su objetivo, utilizando listados de trabajo falsos principalmente dentro de los sectores de criptomoneda, blockchain y finanzas. El grupo empleó técnicas innovadoras de ingeniería social, como ataques de clickfix y falsas publicaciones de problemas de GitHub, para distribuir el malware Multiplatform Weaselstore. El robo de criptomonedas BYBIT, atribuido por el FBI al comerciante, implicó un compromiso de cadena de suministro de SAFE {Wallet}, que causó pérdidas de aproximadamente USD 1.500 millones. Mientras tanto, otros grupos alineados por Corea del Norte vieron fluctuaciones en su ritmo operativo: a principios de 2025, Kimsuky y Konni regresaron a sus niveles de actividad habituales después de una notable disminución a fines de 2024, cambiando su apuntar lejos de los Tanks de habla inglesa, las ONG y los expertos en Corea del Norte para enfocarse principalmente en las entidades de Corneania y los diplomáticos de la persona diplomática; y Andariel resurgió, después de un año de inactividad, con un ataque sofisticado contra una empresa de software industrial de Corea del Sur. Los actores de amenaza alineados en Rusia, especialmente Sednit y Gamaredon, mantuvieron campañas agresivas principalmente dirigidas a los países de Ucrania y la UE. SEDNIT refinó su explotación de vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) en los servicios de correo web, expandiendo la operación RoundPress de RoundCube para incluir Horde, Mdemon y Zimbra. Descubrimos que el grupo aprovechó con éxito una vulnerabilidad de día cero en el servidor de correo electrónico de Mdaemon (CVE-2024‑11182) contra las empresas ucranianas, mientras que RomCom demostró capacidades avanzadas al implementar expectativas de día cero contra Mozilla Firefox (CVE-2024‑9680) y Microsoft Windows (CVE-2024-49039). Los investigadores de ESET informaron todas estas vulnerabilidades a los respectivos proveedores. Gamaredon siguió siendo el actor más prolífico dirigido a Ucrania, mejorando la ofuscación de malware y la introducción de Pterobox, un robador de archivos apalancando Dropbox, mientras que el infame grupo de lombrices de arena intensificó las operaciones destructivas destructivas contra las compañías de energía ucranianas, desplegando un nuevo limpiador llamado Zerolot a través de políticas de grupo de directorio activo y utilizando las herramientas RMM en los primeros estacos de complejamiento de complejes tempranos. Finalmente, las actividades notables de los grupos menos conocidos incluyeron APT-C-60 centrados en las personas en Japón que posiblemente están vinculadas a Corea del Norte, y una campaña de phishing altamente específica, realizada por un actor de amenazas aún no identificado, que se hace pasar por el Foro Económico Mundial y los Sitios web electorales, con el objetivo de obtener información sensible de los funcionarios y los diplomatos de los Oficiales y Diplomados. Además, Stealthfalcon realizó operaciones centradas en el espionaje en Türkiye y Pakistán. Las actividades maliciosas descritas en ESET APT Report del T4 2024 – Q1 2025 son detectados por los productos ESET; La inteligencia compartida se basa principalmente en datos de telemetría ESET patentados y ha sido verificado por los investigadores de ESET. Figura 1. Países y sectores dirigidos