"'Arañas' con corbata y la 'matanza de cerdos': la ciberdelincuencia se convierte en corporación, sale a bolsa por 27.000 millones de dólares y establece su sede en las criptomonedas

En la región Asia-Pacífico y en Japón está surgiendo un nuevo tipo de ciberdelincuencia, en el que los atacantes actúan como estructuras empresariales con una estrategia clara y orientación a la rentabilidad. Según el informe CrowdStrike 2025 APJ eCrime Landscape Report, entre enero de 2024 y abril de 2025 se registraron 763 organizaciones afectadas en los países de la región cuyos datos aparecieron en sitios de filtraciones de extorsionadores. El mayor número de ataques se concentró en India, Australia, Japón, Taiwán y Singapur, y los sectores más frecuentemente atacados fueron el manufacturero, el tecnológico, el financiero y el de ingeniería.

Las principales agrupaciones operativas fueron OCULAR SPIDER, BITWISE SPIDER, BRAIN SPIDER, TRAVELING SPIDER y PUNK SPIDER, que emplean modelos RaaS y operan principalmente desde Asia Oriental. Es notable que parte de los operadores excluyen deliberadamente de su lista de objetivos a China, a los países de la CEI y a Corea del Norte, lo que indica limitaciones territoriales y políticas en su actividad.

Merecen atención los servicios emergentes FunkLocker y KillSec, creados con el uso de inteligencia artificial y que atacan activamente a empresas en India. El desarrollador de FunkLocker, que firma con el seudónimo Scorpion, ya había participado en acciones hacktivistas y ahora combina motivos políticos y financieros.

La economía subterránea de la región se desarrolla en torno a plataformas de habla china como Chang'an, FreeCity y Huione Guarantee (renombrada a Haowang Guarantee). Estas plataformas facilitan la venta de datos robados, servicios para blanquear criptomonedas y esquemas de "pig butchering", estafas de inversión falsas con criptomonedas. Solo a través de Huione pasaron más de 27.000 millones de dólares en tokens Tether, hasta que el servicio fue bloqueado por el Departamento del Tesoro de EE. UU.

Ante el cierre de grandes plataformas, se activaron actores más pequeños, incluyendo a CDNCLOUD, que ofrece hosting a prueba de balas, y al desarrollador Luck, que distribuye el paquete de phishing Magical Cat. Este último se utiliza en ataques contra entidades bancarias y empresas de mensajería, así como en campañas para apoderarse de cuentas de inversores japoneses con el fin de manipular precios de acciones.

CrowdStrike también señala la actividad de cuatro agrupaciones regionales: SINFUL SPIDER y RADIANT SPIDER desde China, CHARIOT SPIDER desde Vietnam y SOLAR SPIDER desde Asia del Sur. Las dos primeras se especializan en la inserción de scripts para robar datos de pago y en redirigir a las víctimas a sitios de apuestas, mientras que la vietnamita CHARIOT SPIDER infecta servidores web Microsoft IIS y Adobe ColdFusion, instalando código JavaScript para interceptar datos de tarjetas. SOLAR SPIDER ataca a bancos y servicios de cambio, propagando troyanos mediante correos de phishing camuflados como notificaciones de Swift y Western Union.

En China y Japón se difunden los troyanos ChangemeRAT, ElseRAT y WhiteFoxRAT, que se hacen pasar por aplicaciones legítimas y se propagan mediante posicionamiento en buscadores o publicidad maliciosa. Sus autores apuntan a usuarios de habla china, incluidos emigrantes, lo que convierte la amenaza en transfronteriza.

El informe destaca por separado la escena vietnamita, donde los ciberdelincuentes han pasado a robar cuentas comerciales en redes sociales con grandes presupuestos publicitarios. La difusión de los malware Ailurophile Stealer y FatStealer provocó la compromisión de más de 20.000 páginas, lo que demuestra la convergencia entre ciberdelincuencia y el marketing digital en la sombra.

CrowdStrike advierte: aunque la proporción atribuible a APT (amenazas persistentes avanzadas) en los incidentes mundiales todavía no supera el 10%, la región se vuelve cada vez más atractiva debido al rápido crecimiento de la economía digital y a una regulación débil. La amenaza principal son las operaciones de extorsión y los esquemas fraudulentos vinculados a servicios subterráneos de habla china y a las finanzas cripto.

La compañía recomienda que las organizaciones de la región implementen sistemas de IA con agentes para escalar la respuesta, protejan los entornos en la nube como infraestructura clave, refuercen la autenticación multifactor y eliminen las brechas de monitorización entre dominios. Sin un análisis proactivo y la caza de amenazas, a las empresas les resultará cada vez más difícil enfrentarse a adversarios "emprendedores" que actúan según las leyes del mercado, pero fuera del marco legal.