Inteligencia que impulsa 
tu resiliencia

Anticípate y supera a las amenazas globales con ESET Threat Intelligence, construido 
sobre datos curados, investigación profunda de APT e insights prácticos de expertos.

Ver la oferta
Por qué ESET Intelligence

Cómo resolvemos tus desafíos
más difíciles de CTI

Descubre cómo ESET Threat Intelligence convierte
el conocimiento en conciencia estratégica.

Visibilidad de amenazas globales y emergentes

La telemetría única de ESET en regiones subrepresentadas permite detectar antes APT y malware.

Limitaciones de recursos o brechas de habilidades en equipos de CTI

La inteligencia verificada por humanos y el acceso opcional a analistas reducen la carga de trabajo y aceleran la comprensión.

Seguimiento de actores APT y campañas en evolución

Los reportes de APT y los feeds de IoC de ESET brindan conciencia situacional continua

Tiempo de respuesta ante amenazas o feeds abrumadores

AI Advisor, acceso a MISP, feeds curados y contexto detallado de APT permiten decisiones más rápidas e informadas.

Integración y automatización de CTI

Los formatos de feed estandarizados (STIX 2.1, JSON) permiten una integración y automatización sencilla con SIEM/SOAR.

Prevención proactiva, no solo detección

Los feeds de inteligencia impulsan controles preventivos y la cacería de amenazas antes de que las amenazas se materialicen.

Qué hace que ESET Intelligence
se destaque

750mil

muestras sospechosas recibidas
todos los días

2.5mil

de URLs analizadas todos los días

500mil

URLs únicas bloqueadas diariamente

60mil.

de registros de metadatos procesados
 todos los días

VISIBILIDAD GLOBAL Y ÚNICA

Con millones de sensores y gran visibilidad en regiones difíciles de observar, ESET ofrece una visión clara de amenazas cibernéticas globales y emergentes.

FEEDS CURADOS Y LISTOS PARA INTEGRARSE

Feeds limpios, deduplicados y con puntuación de confianza en formatos STIX/JSON se integran sin fricciones con herramientas SIEM, SOAR y TIP, reduciendo falsos positivos y carga de trabajo.

INTELIGENCIA IMPULSADA POR IA Y VERIFICADA POR EXPERTOS

ESET combina analítica avanzada de IA con investigación humana de clase mundial para ofrecer inteligencia de amenazas precisa, contextual y accionable; no solo datos.

INSIGHTS A PROFUNDIDAD Y ACCESO A ANALISTAS

Reportes exclusivos de APT y eCrime, feeds de IoC en tiempo real, insights de AI Advisor y sesiones directas con analistas habilitan una defensa proactiva y la toma de decisiones estratégicas.

Descubre cómo funciona ESET Threat Intelligence

Conoce el portafolio
de inteligencia de ESET

Reportes de APT

Con millones de sensores y gran visibilidad en regiones difíciles de observar, ESET ofrece una visión clara de amenazas cibernéticas globales y emergentes.

Explorar

Reportes eCrime

Inteligencia clara y accionable sobre operaciones de cibercrimen con motivación financiera y ecosistemas de malware.

Explorar

Feeds

Flujos de datos en tiempo real y curados, diseñados para automatización e integración.

Explorar

Confianza global. Experiencia comprobada

ESET Threat Intelligence ayuda a gobiernos, infraestructura crítica
y empresas globales a ver más, detectar más rápido y mantenerse resilientes.

ESET es miembro de CISA y trabaja junto con defensores cibernéticos de todo el mundo para apoyar la planificación coordinada de la ciberdefensa y el intercambio de inteligencia de amenazas en tiempo real.

ESET está entre los contribuyentes más activos a MITRE ATT&CK y es una de las fuentes citadas con mayor frecuencia.

ESET colabora con Europol para proporcionar inteligencia accionable que ayuda a desarticular amenazas a través de fronteras y a proteger las operaciones de los clientes.

ESET colabora con ENISA mediante eventos conjuntos de ciberseguridad y participación de expertos, incluyendo análisis compartidos sobre amenazas a la cadena de suministro e información del panorama de amenazas en Europa.

“La visibilidad de ESET sobre un conjunto único de datos es lo que hace que [ESET] sea atractivo en el mundo de la CTI.”

 Cliente del sector de defensa

Conoce la amenaza.
Supera al adversario

La investigación y la telemetría de ESET revelan la infraestructura,
 las tácticas y las campañas detrás de la actividad global de APT,
desde el espionaje patrocinado por Estados hasta operaciones específicas por región.

Conoce a los actores
de amenazas

Sin afiliación

Alineado con Rusia

Alineado con Pakistán

Otros grupos de Medio Oriente

Otros grupos de Europa del Este

Otros grupos de Asia Oriental

Alineado con Corea del Norte

Alineado con Irán

Alineado con India

Alineado con China

Alineado con Asia Central

GOLDENJACKAL

Activo desde al menos 2019. El conjunto de herramientas conocido del grupo se usa para espionaje. Apunta a entidades gubernamentales y diplomáticas en Europa, Medio Oriente y Asia del Sur. El grupo es poco conocido y solo ha sido descrito públicamente por Kaspersky en 2023.

ATTOR

Un actor de amenazas alineado con Rusia, descubierto por investigadores de ESET. Activo desde al menos 2008. Conocido por su plataforma de ciberespionaje homónima. La plataforma destaca por su compleja arquitectura de plugins y una comunicación de red elaborada, usando Tor. El grupo ha comprometido a usuarios en Lituania, Rusia, Eslovaquia, Türkiye, Emiratos Árabes Unidos, Vietnam y Ucrania. Se enfoca específicamente en dos tipos de usuarios: usuarios rusoparlantes preocupados por la privacidad y organizaciones de alto perfil en Europa, incluidas misiones diplomáticas e instituciones gubernamentales.

BUHTRAP

Bien conocido por atacar a instituciones financieras y empresas en Rusia. Desde finales de 2015, ha pasado de ser un grupo puramente criminal, que cometía ciberdelitos con fines de lucro, a un actor que realiza ciberespionaje en Europa del Este y Asia Central. Se cree que el grupo está alineado con Rusia porque desplegó un exploit de día cero para Windows contra un objetivo en Ucrania.

CALLISTO

También conocido como COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto o BlueCharlie. Grupo de ciberespionaje, activo desde al menos 2015. Se sabe que apunta a funcionarios gubernamentales europeos y norteamericanos, think tanks y personal militar. Se centra en spearphishing y robo de credenciales de webmail. A inicios de 2022, el grupo intentó robar credenciales de webmail de funcionarios del gobierno ucraniano y de personas que trabajaban en empresas estatales ucranianas. Es probable que los atacantes usaran esas credenciales para leer correos electrónicos confidenciales o robar documentos de servicios de almacenamiento en la nube. Estas acciones muy probablemente formaron parte de una operación de ciberespionaje relacionada con la actual guerra entre Rusia y Ucrania. En 2023, el gobierno del Reino Unido sancionó a dos miembros de Callisto y vinculó al grupo con el 18.º Centro de Seguridad de la Información del FSB.

GAMAREDON

Activo desde al menos 2013. Responsable de muchos ataques, en su mayoría contra instituciones gubernamentales ucranianas, como se evidencia en varios reportes de CERT-UA y otros organismos oficiales ucranianos. El Servicio de Seguridad de Ucrania (SBU) ha vinculado al grupo con el 18.º Centro de Seguridad de la Información del FSB, operando desde Crimea ocupada. ESET considera que este grupo colabora con InvisiMole. También hemos documentado su colaboración con Turla desde principios de 2025.

GREENCUBE

Grupo de ciberespionaje alineado con Rusia, en operación desde al menos 2022. Se especializa en campañas de spearphishing para robar credenciales y en robar mensajes de correo mediante vulnerabilidades XSS en Roundcube. Sus objetivos habituales incluyen organizaciones gubernamentales y relacionadas con defensa en Grecia, Polonia, Serbia y Ucrania.

INVISIMOLE

Grupo de amenazas alineado con Rusia, activo desde al menos 2013. Conocido por ataques de ciberespionaje altamente dirigidos contra instituciones gubernamentales, entidades militares y misiones diplomáticas. Enfocado principalmente en objetivos en Ucrania, con mayor actividad desde 2021. También ha atacado entidades en Armenia, Bielorrusia, Grecia y Rusia. ESET cree que el grupo colabora con Gamaredon, vinculado al FSB.

OPERATION TEXONTO

Campaña de desinformación/PSYOPS dirigida a ucranianos y disidentes en Rusia. Además, ESET detectó campañas de spearphishing en 2023 dirigidas a una empresa de defensa ucraniana y a una agencia de la UE, con el objetivo de robar credenciales de cuentas de Microsoft Office 365. Actualmente, la Operación Texonto no se atribuye a un actor de amenazas específico. Sin embargo, por las TTP, el targeting y la propagación de los mensajes, hay una alta probabilidad de que la campaña haya sido realizada por un grupo alineado con los intereses de Rusia.

ROMCOM

También conocido como Storm-0978, Tropical Scorpius o UNC2596. Grupo alineado con Rusia que realiza tanto operaciones oportunistas de ciberdelincuencia contra verticales de negocio seleccionados como operaciones de espionaje dirigidas, recopilando inteligencia. Vinculado al despliegue del ransomware conocido como “Cuba” desde al menos 2022. Más recientemente, ha estado enfocado en atacar al gobierno y al sector defensa de Ucrania, a aliados de la OTAN y a múltiples organizaciones gubernamentales en Europa.

SAINTBEAR

También conocido como UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 o TA471. Grupo de ciberespionaje que apunta a Ucrania y Georgia. Activo desde al menos 2021. Se considera alineado con Rusia. Particularmente interesado en objetivos de alto perfil, principalmente dentro del sector gubernamental ucraniano. Despliega infostealers y backdoors en máquinas comprometidas. Se le observó desplegando Cobalt Strike en 2022. Se evalúa con alta confianza como responsable del ataque WhisperGate en 2022.

SANDWORM

Grupo de amenazas alineado con Rusia que realiza diversos ataques destructivos. Comúnmente se le atribuye a la Unidad 74455 de la Dirección Principal de Inteligencia (GRU) de Rusia. Es conocido principalmente por los ataques contra el sector energético ucraniano en 2015 y 2016, que provocaron apagones. ESET rastrea las actividades del grupo bajo varios subgrupos: el subgrupo TeleBots, interesado sobre todo en atacar entidades financieras en Ucrania; GreyEnergy, conocido por el uso intensivo de su malware homónimo contra objetivos de infraestructura crítica, detectado en empresas energéticas de Polonia, Ucrania y Georgia. En 2018, el grupo lanzó el ataque de borrado de datos Olympic Destroyer contra los organizadores de los Juegos Olímpicos de Invierno en PyeongChang. Utiliza malware avanzado como Industroyer, capaz de comunicarse con equipos de empresas energéticas mediante protocolos de control industrial. En 2020, el Departamento de Justicia de EE. UU. publicó una acusación contra seis hackers informáticos rusos, alegando que prepararon y llevaron a cabo diversos ataques del grupo.

SEDNIT

También conocido como APT28, Fancy Bear, Forest Blizzard o Sofacy. En operación desde al menos 2004. El Departamento de Justicia de EE. UU. nombró al grupo como uno de los responsables del hackeo al Comité Nacional Demócrata (DNC) justo antes de las elecciones de 2016 en EE. UU. y lo vinculó con el GRU. También se presume que estuvo detrás del hackeo a la cadena global de televisión TV5Monde, la filtración de correos de la Agencia Mundial Antidopaje (WADA) y muchos otros incidentes. El grupo cuenta con un conjunto diversificado de herramientas de malware en su arsenal, pero hoy en día realiza principalmente campañas de phishing dirigidas. Aun así, se le ha seguido observando desplegando implantes avanzados personalizados.

THE DUKES

También conocido como APT29, Cozy Bear o Nobelium. Un infame grupo de ciberespionaje, activo desde al menos 2008. Según el NCSC-UK, está asociado con el SVR (Servicio de Inteligencia Exterior de la Federación Rusa). Conocido como uno de los grupos que hackearon al Comité Nacional Demócrata de EE. UU. en el periodo previo a las elecciones de 2016. En 2019, ESET expuso su operación de espionaje a gran escala dirigida a múltiples ministerios europeos de asuntos exteriores. Conocido por el ataque a la cadena de suministro de 2020 aprovechando SolarWinds, que llevó al compromiso de organizaciones importantes, incluidas muchas áreas del gobierno de EE. UU. Responsable de varias campañas de spearphishing en 2021, dirigidas a diplomáticos en Europa.

TURLA

También conocido como Snake. Grupo de ciberespionaje activo desde al menos 2004, posiblemente desde finales de los años 90. Se cree que forma parte del FSB. Se enfoca principalmente en objetivos de alto perfil, como gobiernos y entidades diplomáticas, en Europa, Asia Central y Medio Oriente. El grupo es conocido por haber vulnerado organizaciones importantes como el Departamento de Defensa de EE. UU. en 2008 y la empresa suiza de defensa RUAG en 2014.

UAC-0099

Grupo de ciberespionaje que apunta a organizaciones gubernamentales, instituciones financieras y medios de comunicación en Ucrania. Activo desde al menos 2022. Por sus objetivos, se cree con confianza media que el grupo está alineado con los intereses de Rusia. Normalmente despliega LONEPAGE, un descargador de PowerShell llamado así por la presencia de la palabra page en los enlaces de C&C (mando y control).

VERMIN

También conocido como UAC-0020. Grupo de amenazas alineado con Rusia, conocido por ataques de ciberespionaje contra objetivos gubernamentales y militares en Ucrania. Activo desde al menos 2015. Se cree que el grupo está asociado con la llamada República Popular de Lugansk.

ZEBROCY

También conocido como UAC-0063 o TAG-110. Grupo de amenazas alineado con Rusia, conocido por ataques de ciberespionaje contra objetivos gubernamentales, militares y relacionados con asuntos exteriores en Asia Central y Ucrania. Activo desde al menos 2015. El toolkit de malware Zebrocy sirve para campañas de ataques dirigidos y contiene todas las capacidades necesarias para espionaje, como registro de pulsaciones, capturas de pantalla, reconocimiento, listado de archivos y exfiltración, entre otras. Ha sido desarrollado de manera modular, lo que permite actualizaciones y la ejecución de nuevos módulos entregados por los operadores.

TRANSPARENT TRIBE

También conocido como Operation C-Major, Mythic Leopard, ProjectM, APT36 o Earth Karkaddan. Grupo de ciberespionaje que apunta al Ejército de la India y a activos relacionados en India, así como a activistas y a la sociedad civil en Pakistán. Trend Micro y otros han hecho atribuciones débiles hacia una posible conexión paquistaní. El grupo usa ingeniería social y phishing para desplegar malware. Históricamente, ha desplegado backdoors, especialmente CrimsonRAT, contra víctimas que usan Windows, con uso ocasional del backdoor de Android AndroRAT.

ARID VIPER

También conocido como APT-C-23, Desert Falcons o Two-tailed Scorpion. Grupo de ciberespionaje conocido por atacar a países de Medio Oriente. Activo desde al menos 2013. Ataca principalmente a víctimas palestinas e israelíes, incluyendo fuerzas del orden, militares y gobierno, pero también a activistas y estudiantes. Despliega un amplio arsenal de malware para plataformas Android, iOS y Windows, incluyendo varios backdoors personalizados. Se cree que el grupo está afiliado a Hamás y opera desde la Franja de Gaza.

BAHAMUT

Grupo APT que se especializa en ciberespionaje. Se cree que su objetivo es robar información sensible. También se le conoce como un grupo mercenario que ofrece servicios de hack-for-hire para una amplia gama de clientes. Por lo general, apunta a entidades e individuos en Medio Oriente y Asia del Sur mediante mensajes de spearphishing y aplicaciones falsas como vector inicial de ataque.

BIBIGUN

Grupo hacktivista respaldado por Hamás. Apareció por primera vez durante la guerra Israel-Hamás de 2023. Se sabe que el grupo despliega wipers contra objetivos israelíes, usando binarios tanto de Windows como de Linux. El wiper inicial del grupo fue descubierto por Security Joes en 2023, y otro fue descubierto por ESET y reportado ese mismo año.

BLADEHAWK

Grupo de amenazas de ciberespionaje de Medio Oriente, descubierto en 2020. Históricamente, atacó al grupo étnico kurdo del norte de Irak. El grupo ha usado tanto malware para Windows como para Android para atacar a sus víctimas. En 2021, ESET describió una campaña de espionaje del grupo, distribuida mediante contenido prokurdo en Facebook, dirigida a usuarios móviles con backdoors de Android.

POLONIUM

Grupo de ciberespionaje, documentado por primera vez en 2022. Se cree que el grupo tiene base en Líbano y ataca principalmente a organizaciones israelíes. Su conjunto de herramientas consiste en siete backdoors personalizados, incluyendo uno que abusa de los servicios en la nube OneDrive y Dropbox para C&C (comando y control), y otros que utilizan los servicios de almacenamiento de archivos Dropbox y Mega. El grupo también ha usado varios módulos personalizados para espiar a sus objetivos.

STEALTH FALCON

Grupo de amenazas asociado con los Emiratos Árabes Unidos. Activo desde 2012. Conocido por atacar a activistas políticos, periodistas y disidentes en Medio Oriente. Fue descubierto y descrito por primera vez por Citizen Lab en su análisis de ataques con spyware publicado en 2016. En 2019, Amnistía Internacional concluyó que Stealth Falcon y Project Raven, una iniciativa que presuntamente empleaba a exoperativos de la NSA, son el mismo grupo.

STRONGPITY

Alias PROMETHIUM o APT-C-41. Grupo de ciberespionaje, activo desde al menos 2012. Principalmente apunta a entidades ubicadas en Turquía, pero ha operado a nivel mundial. Históricamente, ha atacado la plataforma Windows con su malware homónimo. Sin embargo, a finales de 2022, también se atribuyeron al grupo dos campañas que distribuían apps de Android troyanizadas.

ASYLUM AMBUSCADE

Un grupo de ciberdelincuencia que, además, ha realizado operaciones de ciberespionaje. Fue expuesto públicamente por primera vez en marzo de 2022, después de que el grupo atacara a personal gubernamental europeo involucrado en ayudar a refugiados ucranianos, apenas unas semanas después del inicio de la guerra entre Rusia y Ucrania.

CLOUD ATLAS

También conocido como Inception Framework. Grupo de ciberespionaje, activo desde al menos 2014. También se cree que es un derivado de Red October, un grupo de ciberespionaje más antiguo que, según el blog de seguridad Chronicle (ahora parte de Google Security Operations), posiblemente fue una colaboración entre dos países. El grupo apunta principalmente a gobiernos y empresas en sectores estratégicos como defensa en Rusia, Europa y el Cáucaso.

FROSTY NEIGHBOR

También conocido como UNC1151, DEV-0257, PUSHCHA, Storm-0257 o TA445. Activo desde al menos 2016. Presuntamente opera desde Bielorrusia. La mayoría de las operaciones del grupo han tenido como objetivo a países vecinos de Bielorrusia; una pequeña parte se ha observado en otros países europeos. Realiza campañas de influencia y desinformación, pero también ha comprometido a diversas entidades gubernamentales y del sector privado, con enfoque en Ucrania, Polonia y Lituania.

MOUSTACHED BOUNCER

Grupo de ciberespionaje revelado por primera vez por ESET. Activo desde al menos 2014. Principalmente apunta a embajadas extranjeras en Bielorrusia. Desde 2020, lo más probable es que el grupo haya podido realizar ataques de adversario-en-el-medio (AitM) a nivel del ISP, dentro de Bielorrusia, para comprometer a sus objetivos.

WINTER VIVERN

Grupo de ciberespionaje, descubierto por primera vez en 2021. Se cree que ha estado activo desde al menos 2020. Apunta a gobiernos en Europa y Asia Central. El grupo utiliza documentos maliciosos, sitios web de phishing y un backdoor personalizado en PowerShell para comprometer a sus objetivos. Desde 2022, también ha apuntado específicamente a servidores de correo Zimbra y Roundcube. En 2023, ESET observó al grupo explotando vulnerabilidades XSS antiguas en Roundcube.

XDSPY

Grupo de ciberespionaje, activo desde al menos 2011. Conocido por atacar a entidades gubernamentales como fuerzas armadas, ministerios de relaciones exteriores y empresas estatales en Europa del Este (incluida Rusia) y los Balcanes. El grupo usa correos de spearphishing para comprometer a sus objetivos. En 2020, explotó una vulnerabilidad en Internet Explorer cuando no había ninguna prueba de concepto y había muy poca información pública disponible sobre ella. Es probable que el grupo haya comprado este exploit a un broker.

APT-C-60

También conocido como False Hunter o APT-Q-12. Grupo de ciberespionaje alineado con Corea del Sur, activo desde al menos 2018. Se enfoca principalmente en objetivos de alto perfil como gobiernos, el sector comercial y think tanks. El grupo usa eventos potencialmente interesantes, o sus operadores se hacen pasar por estudiantes que piden opiniones sobre temas de investigación relevantes, para atraer a sus objetivos. Opera descargadores personalizados y un backdoor modular entregado mediante correos de spearphishing. Sus operaciones se caracterizan por el despliegue de múltiples etapas de descargadores y un backdoor personalizado capaz de cargar plugins.

ANDARIEL

Considerado un subgrupo de Lazarus (vinculado a Corea del Norte). Sus actividades se remontan a 2009. El grupo enfoca principalmente sus operaciones en objetivos de Corea del Sur, incluyendo entidades gubernamentales y militares, así como negocios como bancos, exchanges de criptomonedas y brokers en línea. Sus objetivos se centran ya sea en el ciberespionaje o en la ganancia financiera. Entre los incidentes divulgados públicamente del grupo están los ataques contra la Seoul International Aerospace & Defense Exhibition (ADEX) en 2015 y la planta nuclear Kudankulam de India (KKNPP) en 2019.

DECEPTIVE DEVELOPMENT

Un grupo alineado con Corea del Norte, documentado por primera vez en 2023. Sus operadores se enfocan principalmente en la ganancia financiera, atacando a desarrolladores de software en Windows, Linux y macOS para robar criptomonedas, con un posible objetivo secundario de realizar ciberespionaje. El grupo usa perfiles falsos de reclutadores en redes sociales. Contacta a desarrolladores de software, a menudo involucrados en proyectos de criptomonedas, y les proporciona a posibles víctimas bases de código troyanizadas que despliegan backdoors como parte de un proceso falso de entrevista de trabajo.

KIMSUCKY

Grupo de ciberespionaje vinculado a Corea del Norte. Activo desde al menos 2013. Al inicio, el grupo atacaba entidades relacionadas con Corea del Sur; sin embargo, en los últimos años ha ampliado sus actividades de forma más amplia para incluir a Estados Unidos y países europeos. Apunta a entidades gubernamentales, institutos de investigación, empresas de criptomonedas y compañías privadas, con el objetivo principal de realizar ciberespionaje y recopilación de inteligencia.

KONNI

Grupo de actores de amenazas alineado con Corea del Norte. Reportado por primera vez por analistas en 2017. Apunta principalmente a instituciones políticas rusas y surcoreanas. Con frecuencia usa ataques de spearphishing para obtener acceso inicial y depende de una herramienta personalizada de administración remota (RAT) para mantener persistencia y acceso continuo a la máquina de la víctima. Aunque algunos investigadores de seguridad ubican al grupo bajo el paraguas de ScarCruft (APT37), Lazarus o Kimsuky, ESET no puede corroborar esas afirmaciones.

LAZARUS

También conocido como HIDDEN COBRA. Grupo APT vinculado a Corea del Norte. Activo desde al menos 2009. Responsable de incidentes de alto perfil como el hackeo a Sony Pictures Entertainment y robos cibernéticos que costaron decenas de millones de dólares en 2016, el brote de WannaCryptor (también conocido como WannaCry) en 2017, y un largo historial de ataques disruptivos contra infraestructura pública y crítica de Corea del Sur desde al menos 2011. La diversidad, cantidad y excentricidad en la implementación de sus campañas definen a este grupo, así como su participación en los tres pilares de las actividades de ciberdelincuencia: ciberespionaje, ciber sabotaje y búsqueda de ganancia financiera.

OPERATION IN(TER)CEPTION

Nombre que ESET le da a una serie de ataques atribuidos al grupo. Estos ataques han estado en curso desde al menos 2019, apuntando a empresas aeroespaciales, militares y de defensa. La operación destaca por usar spearphishing a través de LinkedIn y por emplear trucos efectivos para mantenerse fuera del radar. Como sugiere el nombre In(ter)ception, su objetivo principal parece ser el espionaje corporativo.

SCARCRUFT

También conocido como APT37 o Reaper. Se sospecha que es un grupo de espionaje norcoreano. Ha estado operando desde al menos 2012. Se enfoca principalmente en Corea del Sur, pero también ataca a otros países asiáticos. El grupo parece estar interesado sobre todo en organizaciones gubernamentales y militares, y en empresas de diversas industrias vinculadas a los intereses de Corea del Norte. Su conjunto de herramientas incluye una amplia gama de descargadores, herramientas de exfiltración y backdoors usados para espionaje.

AGRIUS

Grupo de ciber sabotaje con presunta afiliación a Irán. Activo desde 2020. Ha estado atacando a víctimas en Israel y los Emiratos Árabes Unidos. El grupo inicialmente desplegó un wiper disfrazado de ransomware, pero después lo modificó para convertirlo en ransomware completo. Explota vulnerabilidades conocidas en aplicaciones expuestas a internet para instalar webshells; luego realiza reconocimiento interno antes de moverse lateralmente.

BALLISTIC BOBCAT

Previamente rastreado como APT35 y APT42 (también conocido como Charming Kitten, TA453 o PHOSPHORUS). Un actor estatal iraní sospechoso que apunta a organizaciones de educación, gobierno y salud, así como a activistas de derechos humanos y periodistas. Más activo en Israel, Medio Oriente y Estados Unidos. Durante la pandemia, apuntó a organizaciones relacionadas con COVID-19, incluyendo la Organización Mundial de la Salud y Gilead Pharmaceuticals, así como a personal de investigación médica.

BLADEDFELINE

Grupo de ciberespionaje alineado con Irán. Activo desde al menos 2017. Descubierto por primera vez en 2023, cuando atacó a funcionarios diplomáticos kurdos con su backdoor. En 2024, continuó atacando a esos funcionarios kurdos, junto con funcionarios del gobierno iraquí y un proveedor regional de telecomunicaciones en Uzbekistán. Se evalúa con alta confianza que el grupo es un subgrupo de OilRig —también conocido como APT34 o Hazel Sandstorm (antes EUROPIUM)—, que comparte atributos con BladeHawk y FreshFeline.

CYBERTOUFAN

Un grupo de actores de amenazas conocido por sus ciberataques dirigidos a organizaciones israelíes. Se cree que el grupo tiene base en Türkiye, pero realiza ataques que se alinean con los objetivos del gobierno iraní. Existe una conexión entre el grupo y Frankenstein, un grupo que históricamente ha trabajado para apoyar los intereses de los Territorios Palestinos y que también está alineado con los intereses de Irán. El grupo ha estado involucrado en operaciones de hack-and-leak, filtraciones de datos y destrucción de datos.

DOMESTIC KITTEN

Una campaña realizada por el grupo APT-C-50. En la campaña, el grupo ha llevado a cabo operaciones de vigilancia móvil contra ciudadanos iraníes desde 2016, según lo reportado por Check Point en 2018. En 2019, Trend Micro identificó una campaña maliciosa, posiblemente conectada con Domestic Kitten, dirigida a Medio Oriente, y la llamó Bouncing Golf. Poco después, ese mismo año, Qianxin reportó nuevamente una campaña de Domestic Kitten dirigida a Irán. En 2020, 360 Core Security reveló actividades de vigilancia de Domestic Kitten dirigidas a grupos antigubernamentales en Medio Oriente. El último reporte disponible públicamente es de 2021, por Check Point.

FRESHFELINE

También conocido como MosesStaff. Un grupo iraní de ciberespionaje que apunta a diversos sectores en Israel, Italia, India, Alemania, Chile, Turquía, Emiratos Árabes Unidos y Estados Unidos. Activo desde al menos 2021, cuando desplegó un backdoor previamente desconocido dirigido a dos empresas en Israel. En 2021, desplegó ransomware contra víctimas en Israel. El grupo ataca servidores de Microsoft Exchange expuestos a internet con vulnerabilidades conocidas sin parchar como principal medio de entrada, seguido de movimiento lateral y el despliegue de su propio backdoor personalizado.

GALAXY GATO

También conocido como C5, Smoke Sandstorm, TA455 o UNC1549. Grupo de ciberespionaje alineado con los intereses del gobierno iraní. Activo desde al menos 2022. El grupo apunta a organizaciones en Medio Oriente (incluyendo, entre otros, Israel, Omán y Arabia Saudita) y en Estados Unidos, en los sectores aeroespacial, aviación y defensa. Sus métodos se traslapan con Tortoiseshell, un grupo vinculado a la organización de Guerra Electrónica y Defensa Cibernética (EWCD) del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), y con APT33, que también está vinculado al IRGC-EWCD. Entre sus métodos típicos están el spearphishing usando dominios de typosquatting, el password spraying y el desarrollo y despliegue de backdoors personalizados.

LYCEUM

También conocido como HEXANE o Storm-0133. Un subgrupo de OilRig, activo desde al menos 2017. El grupo ha estado atacando organizaciones en Medio Oriente, con un enfoque especial en organizaciones israelíes, incluyendo entidades gubernamentales nacionales y locales y organizaciones del sector salud. Entre las principales herramientas atribuidas al grupo hay diversos backdoors y una gama de downloaders que utilizan servicios legítimos en la nube para comunicación de C&C (comando y control).

MUDDYWATER

Grupo de ciberespionaje vinculado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Activo desde al menos 2017. El grupo apunta a víctimas en Medio Oriente y Norteamérica, con enfoque en telecomunicaciones, organizaciones gubernamentales y las industrias de petróleo y energía. Sus operadores usan con frecuencia backdoors basados en scripts como PowerShell. Su método preferido de acceso inicial son correos de spearphishing con adjuntos, a menudo PDFs con enlaces que apuntan a repositorios de almacenamiento de archivos como Egnyte y OneHub.

OILRIG

También conocido como APT34 o Hazel Sandstorm (antes EUROPIUM). Grupo de ciberespionaje comúnmente considerado con base en Irán. Activo desde al menos 2014. El grupo apunta a gobiernos de Medio Oriente y a diversos sectores empresariales, incluyendo las industrias química, energética, financiera y de telecomunicaciones. Entre sus campañas destacadas están la campaña DNSpionage de 2018 y 2019, dirigida a víctimas en Líbano y Emiratos Árabes Unidos; la campaña HardPass de 2019–2020, usando LinkedIn para apuntar a víctimas de Medio Oriente en los sectores energético y gubernamental; el ataque de 2020 contra una organización de telecomunicaciones en Medio Oriente; y los ataques de 2023 dirigidos a organizaciones en Medio Oriente. Además de estos incidentes, ESET rastrea otras actividades relacionadas con OilRig bajo subgrupos separados: Lyceum, ShroudedSnooper y BladedFeline.

SHROUDED SNOOPER

También conocido como Scarred Manticore o Storm-0861. Un subgrupo de OilRig activo desde al menos 2019. Identificado por primera vez por Microsoft en los ataques destructivos de 2021–2022 contra el gobierno de Albania, al haber proporcionado acceso inicial a la red para otros subgrupos de OilRig mediante la explotación de aplicaciones expuestas a internet. En 2023, el grupo llevó a cabo ataques contra organizaciones gubernamentales y militares, así como empresas de telecomunicaciones en Medio Oriente.

TORTOISESHELL

También conocido como Crimson Sandstorm, Imperial Kitten, TA456 o Yellow Liderc. Grupo de ciberespionaje, activo desde al menos 2019. El grupo usa ingeniería social y correos de phishing para el acceso inicial y depende en gran medida de macros de Microsoft Office e implantes en etapas tempranas, que se usan para reconocimiento del sistema y de la red. Sus objetivos típicos incluyen los sectores marítimo, naviero y de logística en Estados Unidos, Europa y Medio Oriente.

WILDPRESSURE

Grupo de ciberespionaje que apunta a víctimas en Medio Oriente en los sectores de petróleo, gas e ingeniería. Activo desde al menos 2019, cuando se descubrió su primer backdoor. En 2021, se observó al grupo desplegando herramientas adicionales.

DONOT TEAM

También conocido como APT-C-35 o SectorE02. Actor de amenazas alineado con India, en operación desde al menos 2016. Un reporte de 2021 de Amnistía Internacional vinculó el malware del grupo con una empresa india de ciberseguridad que podría estar vendiendo el spyware u ofreciendo un servicio de hackers-for-hire a gobiernos de la región. El grupo apunta a organizaciones en el sur de Asia usando malware para Windows y Android, con la mayoría de las víctimas ubicadas en Pakistán, Bangladesh, Sri Lanka, Nepal y China. Sus campañas se enfocan en espionaje, usando su framework de malware característico, cuyo propósito principal es recopilar y exfiltrar datos.

BACKDOOR DIPLOMACY

El nombre que ESET usa para un subgrupo de APT15 que se enfoca principalmente en organizaciones gubernamentales y empresas de telecomunicaciones en África y Medio Oriente. Activo desde al menos 2017. En 2022, Bitdefender documentó las actividades del grupo contra la industria de telecomunicaciones en Medio Oriente. En 2023, Unit 42 compartió su análisis del compromiso del grupo a redes gubernamentales en Irán. En 2021, ESET demostró vínculos entre el grupo y lo que Kaspersky rastrea como CloudComputating, un grupo activo desde al menos 2012. ESET también ha observado múltiples vínculos con otros subgrupos de APT15, como Mirage, Ke3chang y DigitalRecyclers.

BLACKWOOD

Un grupo APT alineado con China que realiza operaciones de ciberespionaje contra individuos y empresas chinas y japonesas. Activo desde al menos 2018. En 2020, investigadores de ESET descubrieron al grupo tras detectar archivos sospechosos en un sistema en China. Los operadores del grupo tienen la capacidad de realizar ataques de adversario-en-el-medio, lo que les permite entregar su implante mediante actualizaciones de software legítimo y ocultar la ubicación de sus servidores de C&C (comando y control) al interceptar el tráfico generado por el implante.

BRONZE SILHOUETTE

También conocido como Volt Typhoon o Vanguard Panda. Grupo de ciberespionaje alineado con China, activo desde al menos 2022. Apunta principalmente a la industria de defensa y a organizaciones críticas en EE. UU. Se dio a conocer públicamente por primera vez en 2023, después de que se le detectara atacando infraestructura crítica en Guam, un territorio insular de EE. UU. en el Pacífico occidental que alberga varias bases militares estadounidenses.

CERANA KEEPER

Grupo de ciberespionaje alineado con China, activo desde al menos inicios de 2022. Apunta principalmente a entidades gubernamentales en el Sudeste Asiático. El grupo es conocido por sus componentes documentados, TONEINS, TONESHELL y PUBLOAD, el uso de herramientas disponibles públicamente y técnicas de exfiltración que aprovechan servicios en la nube y de intercambio de archivos. Parte de sus actividades se han atribuido a Mustang Panda (también conocido como Earth Preta o Stately Taurus). Sin embargo, ESET atribuye estas actividades a un grupo separado.

CLOUDSORCERER

Un actor de amenazas reportado públicamente por primera vez en 2024; sin embargo, los datos de telemetría de ESET contienen rastros de la actividad del grupo desde principios de 2022. El grupo realiza operaciones de ciberespionaje contra organizaciones gubernamentales y el sector tecnológico en Rusia, y contra think tanks en Estados Unidos. Sus operaciones se caracterizan por correos de spearphishing con un archivo comprimido adjunto. El grupo aprovecha la técnica de side-loading de Trident para entregar su backdoor principal y, posteriormente, abusar de servicios en la nube como Yandex, OneDrive o Dropbox para recibir comandos.

DIGITAL RECYCLERS

Un actor de amenazas descubierto por ESET. Activo desde al menos 2018. El grupo realiza regularmente operaciones de espionaje contra organizaciones gubernamentales en Europa. Se cree, con baja confianza, que el grupo está vinculado a Ke3chang y BackdoorDiplomacy.

EVASIVE PANDA

También conocido como BRONZE HIGHLAND, Daggerfly y StormBamboo. Grupo APT alineado con China, en operación desde al menos 2012. Su objetivo es el ciberespionaje contra países y organizaciones que se oponen a los intereses de China, a través de movimientos independentistas como los de la diáspora tibetana, instituciones religiosas y académicas en Taiwán y en Hong Kong, y simpatizantes de la democracia en China. En ocasiones, ESET ha observado que sus operaciones se extienden a países como Vietnam, Myanmar y Corea del Sur. El grupo ha acumulado una lista impresionante de métodos de ataque, como ataques a la cadena de suministro y watering-hole, así como secuestro de DNS. También demuestra una fuerte capacidad de desarrollo de malware, como se ve en su extensa colección de backdoors multiplataforma para Windows, macOS y Android.

FAMOUSSPARROW

Grupo de ciberespionaje alineado con China. Se cree que ha estado activo desde al menos 2019. Al inicio, el grupo era conocido por atacar hoteles en todo el mundo, pero también ha atacado a gobiernos, organizaciones internacionales, grupos comerciales, empresas de ingeniería y despachos jurídicos. Es el único usuario conocido del backdoor SparrowDoor. El grupo está vinculado con el grupo Earth Estries, pero la naturaleza exacta de ese vínculo no se conoce del todo. También se le ha vinculado públicamente con Salt Typhoon, pero, debido a la ausencia de indicadores técnicos, ESET los rastrea como entidades separadas.

FISHMONGER

También conocido como Earth Lusca, TAG-22, Aquatic Panda o Red Dev 10. Grupo de ciberespionaje que se cree es operado por el contratista chino I-SOON y que cae bajo el paraguas del grupo Winnti. ESET publicó un análisis del grupo a principios de 2020, cuando atacó intensamente a universidades en Hong Kong durante las protestas cívicas de allá. Describimos una campaña global dirigida a gobiernos, ONG y think tanks en Asia, Europa y Estados Unidos. También se sabe que el grupo realiza ataques de watering-hole.

FLAX TYPHOON

También conocido como ETHEREAL PANDA. Grupo APT alineado con China, activo desde al menos 2021. Ataca principalmente a organizaciones taiwanesas. El grupo utiliza la webshell China Chopper, la herramienta de escalamiento de privilegios Juicy Potato y sus múltiples variaciones, así como Mimikatz. Utiliza ampliamente binarios living-off-the-land (LOLBins) para evadir la detección.

FONTGOBIN

Grupo APT alineado con China. Investigadores de ESET eligieron este nombre debido al uso prolongado del grupo (desde al menos 2022) de archivos de fuentes falsas en el directorio C:\Windows\Fonts como cargas útiles encubiertas para un conjunto específico de loaders. Apunta predominantemente a entidades gubernamentales en Kirguistán, Uzbekistán, Kazajistán y Pakistán.

FONTFUNKYGORILLAS

Grupo APT alineado con China que ataca a diversos sectores en Europa del Este y Asia Central. El grupo utiliza el backdoor Zmm y el Trochilus RAT. El backdoor Zmm está siendo desarrollado por el grupo StartupNation, que también desarrolla el Mikroceen RAT usado por el grupo APT SixLittleMonkeys.

GALLIUM

También conocido como Soft Cell, Alloy Taurus, Red Moros u Othorene. Grupo APT alineado con China que apunta a proveedores de telecomunicaciones y organizaciones gubernamentales en todo el mundo. También es conocido por haber atacado al sector académico. Su conjunto de herramientas incluye un backdoor personalizado en C++, una webshell de IIS basada en China Chopper, varios robadores de credenciales basados en Mimikatz y diversas herramientas comerciales (off-the-shelf).

GELSEMIUM

Grupo de ciberespionaje alineado con China. Activo desde al menos 2014. Ese año, G DATA publicó un documento técnico (white paper) sobre la Operación TooHash, una campaña cuyas víctimas parecían estar ubicadas en Asia Oriental, según los documentos usados en la campaña. Los operadores usaron spearphishing con archivos adjuntos que explotaban una vulnerabilidad ya antigua en Microsoft Office, además de tres componentes, dos de los cuales estaban firmados con un certificado robado. En 2016, Verint Systems presentó en HITCON, donde hablaron de una nueva actividad de la operación TooHash mencionada dos años antes, que aún utilizaba el mismo exploit contra Microsoft Office.

GOPHERWHISPER

Activo desde al menos 2023. Grupo de ciberespionaje alineado con China que se enfoca en la creación de puertas traseras (backdoors) y usa servicios legítimos como Discord, Slack y file.io para comunicaciones de C2 (comando y control) y exfiltración. Hasta 2025, la telemetría de ESET muestra que el grupo ha estado apuntando a instituciones gubernamentales en Mongolia.

GREF

Grupo de ciberespionaje alineado con China, activo desde al menos 2009. Nombrado por el uso abundante de referencias a Google en su código y conocido por utilizar compromisos tipo drive-by. El arsenal del grupo incluye malware para usuarios de Windows, OS X y Android. Se documentó por primera vez en 2014, cuando usó una puerta trasera para OS X para atacar a empresas de electrónica e ingeniería en todo el mundo, así como a ONG con intereses en Asia. En 2020, Lookout descubrió cuatro puertas traseras de Android usadas para atacar a uigures, tibetanos y poblaciones musulmanas alrededor del mundo, lo cual atribuyeron al grupo con base en infraestructura de red coincidente. Aunque varias fuentes afirman que el grupo está asociado con APT15, los investigadores de ESET no cuentan con evidencia suficiente para respaldar esta conexión y, por lo tanto, lo siguen rastreando como un grupo separado.

KE3CHANG

Ke3chang (se pronuncia ke-tri-chang) es el nombre que ESET usa para un subgrupo de APT15 que ataca principalmente a organizaciones gubernamentales y misiones diplomáticas en Europa y América Latina. El nombre se basa en un informe de Mandiant de 2013 sobre la Operación Ke3chang, y lo usamos para actividades posteriores de APT15 reportadas por diversas organizaciones entre 2016 y 2021. Las operaciones del grupo se caracterizan por desplegar únicamente puertas traseras simples de primera etapa, con capacidades limitadas, y por depender después de operadores humanos para ejecutar manualmente comandos adicionales, aprovechando utilidades integradas y de acceso público para tareas de reconocimiento.

KMA-VPN

Redes encubiertas (ORB) que se ejecutan en servidores virtuales privados (VPS) en todo el mundo. Activa desde al menos 2023. Múltiples actores de amenazas alineados con China, incluidos DigitalRecyclers y BackdoorDiplomacy, utilizan esta red encubierta para anonimizar su tráfico de red y ocultar su verdadero origen.

LONGNOSEDGOBLIN

Grupo APT alineado con China descubierto por ESET en 2024. Apunta a entidades gubernamentales en Malasia con el objetivo de realizar ciberespionaje. El grupo despliega malware personalizado y único para recopilar el historial de navegación de las víctimas y decidir dónde desplegar una puerta trasera que aprovecha el servicio en la nube Microsoft OneDrive. Además, utiliza la Directiva de Grupo (Group Policy) de Active Directory para desplegar su malware y realizar movimiento lateral. Hay una ligera superposición con el grupo APT ToddyCat, basada en rutas de archivos y el uso de SoftEther VPN. Sin embargo, en general los conjuntos de herramientas son diferentes.

LOTUS BLOSSOM

También conocido como Lotus Panda y Billbug. Grupo APT alineado con China que ataca a organizaciones gubernamentales y del sector marítimo en el Sudeste Asiático. Se dio a conocer por primera vez en 2015. Emplea la puerta trasera Elsentric y varias herramientas adicionales, como Impacket y el proxy Venom.

LUCKYMOUSE

También conocido como APT27 o Emissary Panda. Grupo de ciberespionaje que apunta principalmente a gobiernos, empresas de telecomunicaciones y organizaciones internacionales. Activo en Asia Central, Medio Oriente, Mongolia, Hong Kong y Norteamérica. Una de las técnicas distintivas del grupo es usar carga lateral de DLL (DLL side-loading) para cargar sus puertas traseras.

MIRRORFACE

También conocido como Earth Kasha. Activo desde al menos 2019. Actor de amenazas alineado con China que ataca principalmente a empresas y organizaciones en Japón, así como a entidades en otros lugares con vínculos con Japón. ESET lo considera un subgrupo bajo el paraguas de APT10. Se ha reportado que el grupo apunta a medios, empresas relacionadas con defensa, centros de pensamiento (think tanks), organizaciones diplomáticas, instituciones financieras, instituciones académicas y fabricantes. Se enfoca en espionaje y en la exfiltración de archivos de interés.

MUSTANG PANDA

También conocido como TA416, RedDelta, PKPLUG, Earth Preta o Stately Taurus. Un grupo de ciberespionaje que se cree tiene base en China. Principalmente ataca a entidades gubernamentales y ONG. Aunque es conocido por su campaña de 2020 dirigida al Vaticano, sus víctimas se ubican en su mayoría en Asia Oriental y el Sudeste Asiático, con un enfoque en Mongolia. En sus campañas, el grupo usa con frecuencia loaders personalizados para malware compartido.

PERPLEXED GOBLIN

También conocido como APT31. Un grupo de ciberespionaje alineado con China que se enfoca principalmente en entidades gubernamentales en Europa. Utiliza un implant personalizado que puede desplegarse de distintas maneras, incluyendo una cadena de DLL side-loading y una cadena de bring-your-own-vulnerable-software (BYOVS). Vale la pena señalar que el grupo tiene un arsenal más amplio de herramientas personalizadas, algunas de las cuales aún no hemos visto en uso real.

PLUSHDAEMON

Actor de amenazas alineado con China, activo desde al menos 2018. El grupo realiza operaciones de espionaje contra personas y entidades en China, Taiwán, Hong Kong, Corea del Sur, Estados Unidos y Nueva Zelanda. Usa una puerta trasera personalizada, y su principal técnica de acceso inicial es secuestrar actualizaciones legítimas redirigiendo el tráfico a servidores controlados por los atacantes mediante un implant de red. Además, el grupo obtiene acceso a través de vulnerabilidades en servidores web, y realizó un ataque a la cadena de suministro en 2023.

RED FOXTROT

Grupo APT activo desde al menos 2014. Apunta a los sectores gubernamental, de defensa y de telecomunicaciones en Asia Central, India y Pakistán. Se cree que forma parte de la Unidad 69010 del Ejército Popular de Liberación (PLA). Es uno de los grupos con acceso a la puerta trasera ShadowPad.

SINISTEREYE

Grupo APT alineado con China, activo desde al menos 2008. Lleva a cabo operaciones de ciberespionaje y vigilancia en China, atacando a personas nacionales y extranjeras, empresas, instituciones educativas y entidades gubernamentales. Las actividades del grupo son un subconjunto de operaciones atribuidas a la APT LuoYu (también conocida como CASCADE PANDA). Utiliza adversary-in-the-middle, aprovechando acceso al backbone de internet chino, para secuestrar actualizaciones de software y entregar sus implants para Windows y Android.

SNEAKY DRAGON

Un grupo APT que ataca a entidades en Asia Oriental y el Sudeste Asiático. Activo desde al menos 2020. ESET cree que tiene base en China. La herramienta distintiva del grupo es un malware modular diseñado con énfasis en proporcionar acceso remoto sigiloso.

SPARKLING GOBLIN

Un grupo APT cuyas tácticas, técnicas y procedimientos (TTP) se traslapan parcialmente con APT41 (también conocido como BARIUM). Aunque el grupo opera principalmente en Asia Oriental y el Sudeste Asiático, también apunta a organizaciones de una amplia gama de sectores en todo el mundo, con un enfoque particular en el ámbito académico. También es uno de los grupos con acceso a la puerta trasera ShadowPad.

SPECCOM

También conocido como IndigoZebra o SMAC. Activo desde al menos 2013. Según reportes, este grupo APT alineado con China es responsable de ataques contra entidades políticas en algunos países de Asia Central, específicamente Afganistán, Uzbekistán y Kirguistán. Investigadores de ESET también han observado sus ataques en Guinea Ecuatorial, Rusia, Tayikistán e Israel.

STARTUP NATION

Un grupo responsable de desarrollar y mantener malware para varios grupos APT alineados con China. Activo desde al menos 2016. ESET considera que el grupo proporciona su software a los grupos APT alineados con China que rastreamos como SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 y TA410. Ha desarrollado el conjunto de herramientas HDMan, el Mikroceen RAT (también conocido como BYEBY), la puerta trasera Zmm y la puerta trasera BeRAT.

STEPPE DRIVER

Grupo de espionaje alineado con China que opera desde la Región Autónoma de Mongolia Interior de la República Popular China. ESET descubrió al grupo en 2024 cuando atacó a una agencia de autos en Francia. También ha atacado a entidades gubernamentales en Mongolia y a un despacho de abogados en Sudamérica. Utiliza una amplia variedad de herramientas, la mayoría compartidas entre grupos alineados con China. El grupo también es cliente de StartupNation.

TA410

Un grupo paraguas de ciberespionaje conocido principalmente por atacar a organizaciones con sede en Estados Unidos en el sector de servicios públicos (utilities) y a organizaciones diplomáticas en Medio Oriente y África. Activo desde al menos 2018. Se dio a conocer públicamente por primera vez en 2019. Está compuesto por tres subgrupos que ESET ha nombrado JollyFrog, LookingFrog y FlowingFrog. En 2020, la familia de malware FlowCloud, recién descubierta y muy compleja, también se atribuyó a TA410.

TA428

También conocido como ThunderCats. Grupo APT, activo desde al menos 2014. Apunta a gobiernos en Asia Oriental, con un enfoque particular en Mongolia y Rusia. ESET cree que opera desde Pekín, en la República Popular China. El grupo utiliza puertas traseras personalizadas y herramientas compartidas. Es uno de los grupos con acceso a la puerta trasera ShadowPad.

THE WIZARDS

Grupo APT alineado con China, activo desde al menos 2021. Lleva a cabo operaciones de ciberespionaje contra individuos, empresas de apuestas y entidades desconocidas en Filipinas, Emiratos Árabes Unidos y China. Investigadores de ESET descubrieron a este actor de amenazas cuando una actualización maliciosa fue descargada por una aplicación china popular conocida como Sogou Pinyin. El grupo tiene capacidades para realizar ataques de adversary-in-the-middle, lo que le permite redirigir tráfico y entregar su malware personalizado mediante actualizaciones.

TICK

También conocido como BRONZE BUTLER o REDBALDKNIGHT. Grupo APT sospechoso de estar activo desde al menos 2006. Apunta principalmente a países de la región APAC. Este grupo es de interés por sus operaciones de ciberespionaje, enfocadas en el robo de información clasificada y propiedad intelectual.

TRAPPED GOBLIN

Un grupo alineado con China que usa malware modular personalizado, al que ESET nombró GrapHop.

UNSOLICITED BOOKER

Actor de amenazas alineado con China que opera desde al menos 2023. El grupo realiza operaciones de ciberespionaje en Medio Oriente. El grupo se traslapa con Space Pirates y con el actor de amenazas que usa la puerta trasera Zardoor. Tiene acceso a varios implants y también es cliente de StartupNation.

WEBSIIC

También conocido como ToddyCat. Descubierto por investigadores de ESET en 2021 durante una investigación de ataques contra servidores Microsoft Exchange, mediante el abuso de la vulnerabilidad ProxyLogon. Con base en eso, lo más probable es que sea un grupo APT alineado con China. Según Kaspersky, el grupo ha estado activo desde al menos 2020. Sus objetivos previos incluyen organizaciones en Nepal, Vietnam, Japón, Bangladesh y Ucrania. Los ataques del grupo suelen combinar el uso de malware propietario distintivo y herramientas de hacking de disponibilidad pública.

WEBWORM

Grupo de ciberespionaje reportado por primera vez por Symantec en 2022. Está vinculado a otros grupos APT alineados con China, como SixMonkeys y FishMonger. El grupo utiliza familias de malware bien conocidas. También es cliente de StartupNation.

WINNTI GROUP

Activo desde al menos 2012. Se sabe que tiene base en la ciudad china de Chengdu, provincia de Sichuan. Responsable de ataques de alto perfil a la cadena de suministro contra las industrias de videojuegos y software, lo que ha llevado a la distribución de múltiples programas “troyanizados” que luego se usan para comprometer a más víctimas. El grupo también es conocido por haber comprometido diversos objetivos en distintos sectores, como salud y educación.

WOROK

Grupo de ciberespionaje alineado con China, activo desde al menos 2020. ESET cree que opera desde Pekín. El grupo se enfoca principalmente en objetivos en Mongolia, pero también ha atacado a entidades en Kirguistán, Vietnam, Turquía, Indonesia y Namibia. Apunta a organismos gubernamentales y otras organizaciones del sector público, así como a empresas privadas. El grupo usa sus herramientas personalizadas y herramientas disponibles públicamente. Comparte herramientas y características adicionales con otros grupos alineados con China, en particular con TA428. Cabe destacar que tiene acceso a la puerta trasera ShadowPad y es cliente del grupo proveedor de software StartupNation.

STURGEONPHISHER

También conocido como YoroTrooper. Grupo de ciberespionaje, activo desde al menos 2021. El grupo se enfoca en spearphishing y en el robo de credenciales de webmail. Apunta a funcionarios de gobierno, centros de pensamiento (think tanks) y empleados de empresas estatales en países que bordean el mar Caspio, siendo la Federación Rusa el país más atacado. Dado lo acotado de su selección de objetivos, es probable que el grupo opere desde un país de Asia Central. Con base en la victimología y otros indicadores técnicos, ESET evalúa con baja confianza que el grupo está alineado con los intereses de Kazajistán.

Solicitar prueba

Mantente informado. Mantente un paso adelante

INFORME DE AMENAZAS DE ESET H2 2025

Un análisis a fondo de las tendencias globales de amenazas, la actividad regional de APT y los desarrollos de malware observados a través de la telemetría de ESET.

Leer el informe

Resumen de actividad APT

Información más reciente sobre campañas APT activas en todo el mundo.

Explorar actividad APT

WeLiveSecurity: Historias principales e investigación

Análisis experto y comentarios de los investigadores de ESET sobre las amenazas cibernéticas más recientes, descubrimientos y tendencias de seguridad.

Leer historias

Podcast de investigación de ESET: Explorando el panorama global de amenazas

Únete a nuestros analistas mientras hablan sobre atribución, herramientas y cambios en la actividad global

Escuchar el podcast

Resumen de la solución

Obtén una visión a fondo de la solución con descripciones detalladas y aspectos destacados de sus funciones.

Descargar PDF

CONECTEMOS

¿Te interesa saber más? Comparte tus datos de contacto y te daremos seguimiento con más información. 
Podemos guiarte en una demo, platicar sobre una prueba de concepto o responder cualquier pregunta que tengas.