ESET hace balance del semestre: Corea del Norte engaña a programadores, China vigila el petróleo y hackers iraníes quedan sin Interne
Tras la frialdad del informe, afloró un mapa de intereses externos y de crisis por venir.
El mapa mundial del ciberespionaje cambió notablemente en seis meses: unos grupos vigilaron el petróleo, las rutas marítimas y las tecnologías de defensa, mientras que otros intentaron atacar el sector energético, las criptomonedas y las cadenas de suministro de software.
ESET publicó un informe sobre las acciones de grupos APT en el cuarto trimestre de 2025 y el primer trimestre de 2026. El documento fue preparado por Zhan-Yan Buten de ESET Research. En el informe se recopilan campañas destacadas que los especialistas de la empresa siguieron desde octubre de 2025 hasta marzo de 2026.
Los grupos relacionados con China siguieron activos en todo el mundo. Según ESET, FamousSparrow atacó una entidad estatal de Venezuela vinculada al sector marítimo. El objetivo podría haber sido vigilar la resiliencia del suministro de petróleo tras la operación militar de EE. UU. SteppeDriver, a su vez, se dirigió a la red estatal siria, lo que los autores del informe asocian con el interés de Pekín en la reconstrucción de Siria y con asuntos de seguridad.
ESET también detectó PhiliKit, un nuevo módulo malicioso del conjunto SPAWN, que se relaciona con UNC5221 y ataques contra dispositivos VPN de Ivanti. Según la compañía, el grupo NegativeGlimmer comprometió organizaciones estatales en Camboya y Panamá, así como una empresa surcoreana del sector de inteligencia artificial y robótica.
El frente iraní cambió drásticamente tras el inicio de la guerra a finales de febrero de 2026. La actividad de los conocidos grupos APT iraníes en la telemetría de ESET disminuyó, probablemente debido a las restricciones de Internet dentro del país. Al mismo tiempo, aumentó el papel de grupos proxy y de hacktivistas que atacaron a Israel, a EE. UU. y a otros estados que Teherán considera adversarios.
Los grupos norcoreanos continuaron apuntando a desarrolladores y al sector de las criptomonedas. Lazarus y DeceptiveDevelopment apostaron por la ingeniería social prolongada, mientras que Kimsuky y Konni emplearon con más frecuencia ataques puntuales rápidos. ESET también registró el regreso de Andariel en Corea del Sur, donde el grupo utilizó TigerRAT e intentó distribuir el ransomware Rook en una empresa de ingeniería.
ESET describió por separado las campañas Lazarus Operation DreamJob y Operation DangerousPassword. La primera se dirigió contra fabricantes europeos de drones. La segunda llevó a la compromisión de la biblioteca axios para JavaScript, que se descarga más de 100 millones de veces a la semana desde npm. Los atacantes accedieron a la cuenta del mantenedor principal del proyecto y publicaron versiones maliciosas de la biblioteca.
ESET también mencionó un ataque de phishing contra un centro analítico japonés, el spyware para Android Asin dirigido a usuarios de habla árabe y la intrusión en una empresa de defensa en los Emiratos Árabes Unidos a través del servidor SmartOffice CRM.
Los ciberataques se parecen cada vez menos a incidentes aislados y cada vez más reflejan conflictos reales, intereses económicos y la lucha por la influencia; por eso ahora hay que proteger no solo los servidores, sino también los vínculos entre países, empresas y tecnologías.