< Back
Mysterious elephant

Tags:

Threat intelligence
22 Octubre 2025

Resumen semanal de los ciberataques 16-22 octubre

PassiveNeuron: una sofisticada campaña dirigida a los servidores de organizaciones de alto perfil 

Se han descubierto nuevos datos sobre la campaña de ciberespionaje PassiveNeuron, una sofisticada operación en curso dirigida a los servidores de organizaciones de alto perfil en Asia, África y América Latina. Detectada por primera vez en junio de 2024, PassiveNeuron implicó inicialmente el despliegue de implantes personalizados hasta entonces desconocidos, Neursite y NeuralExecutor, en servidores gubernamentales. Tras una pausa de seis meses, en diciembre de 2024 comenzó una nueva ola de infecciones que se prolongó hasta agosto de 2025, ampliando su alcance para incluir entidades gubernamentales, financieras e industriales. La campaña utilizó una arquitectura de cargador DLL de múltiples etapas con secuestro Phantom DLL para garantizar la persistencia. El enfoque de la campaña en servidores expuestos a Internet y su avanzado diseño en varias etapas subrayan una importante amenaza de espionaje.

Nuevo malware atribuido al grupo COLDRIVER

Investigadores del Grupo de Inteligencia sobre Amenazas de Google (GTIG) han atribuido una nueva suite de malware al grupo COLDRIVER, patrocinado por el Estado ruso (también conocido como UNC4057, Star Blizzard y Callisto). Tras la exposición pública de su anterior malware LOSTKEYS en mayo de 2025, el actor malicioso reestructuró sus operaciones en solo cinco días, revelando una cadena de infección completamente nueva centrada en múltiples familias de malware relacionadas: NOROBOT, YESROBOT y MAYBEROBOT. Las campañas marcan una fuerte escalada en la sofisticación técnica y el ritmo de desarrollo de COLDRIVER. El grupo pasó del tradicional phishing de credenciales a la recopilación de información basada en malware.

Seguimiento del malware y la expansión de los ataques: el viaje de un grupo de hackers por Asia 

Se ha identificado una serie coordinada de campañas de phishing y malware que se están extendiendo por Asia, lo que revela la continua evolución de las operaciones de un grupo de hackers desde China hasta Taiwán, Japón y, más recientemente, Malasia. Las campañas, que comenzaron a aparecer a principios de 2024 y se intensificaron a lo largo de 2025, se dirigen a los usuarios a través de correos electrónicos fraudulentos que distribuyen archivos adjuntos maliciosos en formato PDF, Word y HTML disfrazados de comunicaciones oficiales de organismos gubernamentales, como ministerios de finanzas y autoridades fiscales. Estos señuelos finalmente distribuyen variantes de las familias de malware HoldingHands y Winos 4.0, que permiten el acceso remoto y el robo de información.

Operación Silk Lure: tareas programadas convertidas en armas para la carga lateral de DLL 

Se ha descubierto una operación de ciberespionaje en curso denominada Operación Silk Lure, que aprovecha las tareas programadas y la carga lateral de DLL para desplegar el malware ValleyRAT. La campaña se dirige a personas y empresas chinas (en particular, las del sector de la tecnología financiera, el intercambio de criptomonedas y las plataformas de negociación) mediante correos electrónicos de spear phishing altamente específicos que se hacen pasar por solicitantes de empleo. Estos correos electrónicos contienen archivos maliciosos de acceso directo de Windows (.LNK) camuflados como currículos o portafolios. La operación demuestra que se trata de un actor malicioso organizado y con capacidad técnica que lleva a cabo campañas de espionaje selectivo o robo de credenciales contra organizaciones chinas en sectores sensibles como el financiero y el de las cadenas de bloques. 

Mysterious Elephant: una amenaza creciente 

Investigadores de ciberseguridad han documentado la continua evolución de Mysterious Elephant, un grupo de amenazas persistentes avanzadas (APT) identificado por primera vez en 2023. Este grupo está llevando a cabo ahora una nueva campaña en el sur de Asia. El grupo ha sido observado empleando técnicas cada vez más sofisticadas, incluidas nuevas herramientas de malware personalizadas y de código abierto. Aunque inicialmente se asemejaba a las operaciones atribuidas a Confucius y Origami Elephant, Mysterious Elephant se ha distinguido desde entonces por incorporar y desarrollar código heredado de múltiples ecosistemas APT. Esto sugiere una colaboración activa o un intercambio de código entre actores regionales que representan una amenaza, como Confucius, Origami Elephant y SideWinder.