Inteligencia que potencia tu
resiliencia
Anticípate y adelántate a las amenazas globales con ESET Threat Intelligence, basada
en datos seleccionados, una profunda investigación de APT y la visión práctica de expertos.
Inteligencia que potencia tu
Cómo resolvemos tus retos más difíciles
en materia de CTI
Descubre cómo la inteligencia sobre amenazas de ESET convierte la concienciación
en una concienciación estratégica.
Visibilidad de amenazas globales y emergentes
La telemetría única de ESET procedente de regiones poco representadas permite una detección más temprana de APT y malware.
Limitaciones de recursos o carencias de habilidades en los equipos de CTI
La inteligencia verificada por humanos y el acceso opcional a analistas reducen la carga de trabajo y aceleran la comprensión.
Seguimiento de los actores APT y las campañas en evolución
Los informes APT y las fuentes IoC de ESET proporcionan un conocimiento continuo de la situación.
Tiempo de respuesta ante amenazas o flujos de amenazas abrumadores
El asesor de IA, el acceso al MISP, los flujos seleccionados y el contexto detallado de las APT permiten tomar decisiones más rápidas y fundamentadas.
Integración y automatización de CTI
Los formatos de alimentación estandarizados (STIX 2.1, JSON) permiten una fácil integración y automatización de SIEM/SOAR.
Prevención proactiva, no solo detección
La inteligencia alimenta los controles preventivos y la búsqueda antes de que las amenazas se materialicen.
¿Qué hace que la inteligencia de ESET destaque?
750 mil
muestras sospechosas recibidas
cada día
2.5bn.
URL analizadas cada día
500 mil
direcciones URL bloqueadas diariamente
60mil.
registros de metadatos procesados
cada día
VISIBILIDAD GLOBAL Y ÚNICA
Con millones de sensores y una gran visibilidad en regiones difíciles de ver, ESET ofrece una visión clara de las amenazas cibernéticas globales y emergentes.
FEEDS SELECCIONADOS Y LISTOS PARA LA INTEGRACIÓN
Los feeds limpios, desduplicados y con puntuación de confianza en formatos STIX/JSON se integran perfectamente con las herramientas SIEM, SOAR y TIP, lo que reduce los falsos positivos y la carga de trabajo.
INTELIGENCIA BASADA EN IA Y VERIFICADA POR EXPERTOS
ESET combina análisis avanzados de IA con investigación humana de primer nivel para ofrecer inteligencia sobre amenazas precisa, contextual y procesable, no solo datos.
INFORMACIÓN DETALLADA Y ACCESO A ANALISTAS
Los informes exclusivos sobre APT y delitos electrónicos, las fuentes de IoC en tiempo real, la información de AI Advisor y las sesiones directas con analistas permiten una defensa proactiva y una toma de decisiones estratégica.
Descubre el portfolio de inteligencia de ESET
Informes APT
Con millones de sensores y una gran visibilidad en regiones difíciles de ver, ESET ofrece una visión clara de las amenazas cibernéticas globales y emergentes.
Informes sobre delitos electrónicos
Información clara y útil sobre operaciones de ciberdelincuencia con fines económicos y ecosistemas de malware.
Feeds
Fuentes de datos seleccionadas en tiempo real diseñadas para la automatización y la integración.
Confianza global. Experiencia probada
La inteligencia sobre amenazas de ESET ayuda a los gobiernos, las infraestructuras críticas y las
empresas globales a ver más, detectar más rápido y mantenerse resilientes.
ESET es miembro de CISA y colabora con defensores cibernéticos de todo el mundo para apoyar la planificación coordinada de la defensa cibernética y el intercambio de información sobre amenazas en tiempo real.
ESET colabora con Europol para proporcionar información útil que ayude a neutralizar amenazas transfronterizas y proteger las operaciones de los clientes.
ESET es uno de los colaboradores más activos de MITRE ATT&CK y una de las fuentes más citadas.
ESET colabora con ENISA mediante eventos conjuntos sobre ciberseguridad y la participación de expertos, incluyendo análisis compartidos sobre amenazas a la cadena de suministro y perspectivas sobre el panorama europeo de amenazas.
ESET cuenta con la certificación de la etiqueta «Cybersecurity Made in Europe» de ECSO, lo que garantiza una protección fiable y soberana para las empresas que operan en entornos regulados.
“La visibilidad de ESET sobre un conjunto único de datos es lo que hace que [ESET] resulte atractivo en el mundo de la CTI”.
Cliente del sector de la defensa
Conoce la amenaza.
Sé más astuto que el ciberdelincuente
La investigación y la telemetría de ESET revelan la infraestructura,
las tácticas y las campañas que se esconden tras la actividad APT global, desde el espionaje patrocinado por Estados
hasta operaciones específicas de determinadas regiones.
CONOCE A LOS ACTORES MALICIOSOS
NO AFILIADO
ALINEADO CON RUSIA
ALINEADO CON PAKISTÁN
OTROS GRUPOS DE ORIENTE MEDIO
OTROS GRUPOS DE EUROPA DEL ESTE
OTROS GRUPOS DEL ESTE ASIÁTICO
ALINEADO CON COREA DEL NORTE
ALINEADO CON IRÁN
ALINEADO CON LA INDIA
ALINEADO CON CHINA
- BackdoorDiplomacy
- Blackwood
- Bronze Silhouette
- Ceranakeeper
- CloudSorcerer
- Blackwood
- DigitalRecyclers
- Evasive Panda
- FamousSparrow
- Fishmonger
- Flax Typhoon
- Fontgoblin
- FourFunkyGorillas
- Gallium
- Gelsemium
- GopherWhisper
- Gref
- Ke3chang
- KMA VPN
- LongnosedGoblin
- Lotus Blossom
- LuckyMouse
- MirrorFace
- Mustang Panda
- Perplexedgoblin
- PlushDaemon
- RedFoxtrot
- Sinistereye
- SneakyDragon
- SparklingGoblin
- Speccom
- Startupnation
- Steppedriver
- TA428
- TheWizards
- Tick
- TrappedGoblin
- UnsolicitedBooker
- Websiic
- Webworm
- Winnti Group
- Worok
ALINEADO CON ASIA CENTRAL
GOLDENJACKAL
Activo desde al menos 2019. El conjunto de herramientas conocido del grupo se utiliza para el espionaje. Se dirige a entidades gubernamentales y diplomáticas en Europa, Oriente Medio y el sur de Asia. El grupo es poco conocido y solo ha sido descrito públicamente por Kaspersky en 2023.
ATTOR
Un actor de amenazas alineado con Rusia, descubierto por investigadores de ESET. Activo desde al menos 2008. Conocido por su plataforma de ciberespionaje homónima. La plataforma destaca por su compleja arquitectura de complementos y su elaborada comunicación de red, utilizando Tor. El grupo ha comprometido a usuarios en Lituania, Rusia, Eslovaquia, Turquía, los Emiratos Árabes Unidos, Vietnam y Ucrania. Se dirige específicamente a dos tipos de usuarios: usuarios de habla rusa preocupados por la privacidad y organizaciones de alto perfil en Europa, incluidas misiones diplomáticas e instituciones gubernamentales.
BUHTRAP
Bien conocido por dirigirse a instituciones financieras y empresas en Rusia. Desde finales de 2015, ha pasado de ser un grupo puramente criminal, que perpetraba ciberdelitos para obtener beneficios económicos, a ser un actor que realiza ciberespionaje en Europa del Este y Asia Central. Se cree que el grupo está alineado con Rusia porque desplegó un exploit de día cero para Windows contra un objetivo en Ucrania.
CALLISTO
También conocido como COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto o BlueCharlie. Grupo de ciberespionaje, activo desde al menos 2015. Conocido por dirigirse a funcionarios gubernamentales, centros de pensamiento y personal militar de Europa y América del Norte. Se centra en el spearphishing y el robo de credenciales de correo web. A principios de 2022, el grupo intentó robar credenciales de correo web de funcionarios del gobierno ucraniano y de personas que trabajaban en empresas estatales ucranianas. Es probable que los atacantes utilizaran las credenciales para leer mensajes de correo electrónico confidenciales o robar documentos de servicios de almacenamiento en la nube. Estas acciones formaban parte, muy probablemente, de una operación de ciberespionaje relacionada con la actual guerra entre Rusia y Ucrania. En 2023, el gobierno del Reino Unido sancionó a dos miembros de Callisto y vinculó al grupo con el 18º Centro de Seguridad de la Información del FSB.
GAMAREDON
Activo desde al menos 2013. Responsable de muchos ataques, principalmente contra instituciones gubernamentales ucranianas, como demuestran varios informes del CERT-UA y otros organismos oficiales ucranianos. El Servicio de Seguridad de Ucrania (SBU) ha vinculado al grupo con el 18º Centro de Seguridad de la Información del FSB que opera desde la Crimea ocupada. ESET cree que este grupo colabora con InvisiMole. También hemos documentado su colaboración con Turla desde principios de 2025.
GREENCUBE
Grupo de ciberespionaje alineado con Rusia, que opera desde al menos 2022. Se especializa en campañas de spearphishing para el robo de credenciales y el robo de mensajes de correo electrónico a través de vulnerabilidades XSS en Roundcube. Los objetivos habituales incluyen organizaciones gubernamentales y relacionadas con la defensa en Grecia, Polonia, Serbia y Ucrania.
INVISIMOLE
Grupo de amenazas alineado con Rusia, activo desde al menos 2013. Conocido por ataques de ciberespionaje altamente dirigidos contra instituciones gubernamentales, entidades militares y misiones diplomáticas. Centrado principalmente en objetivos en Ucrania, con un aumento de la actividad desde 2021. También se ha dirigido a entidades en Armenia, Bielorrusia, Grecia y Rusia. ESET cree que el grupo colabora con el grupo Gamaredon, vinculado al FSB.
OPERATION TEXONTO
Campaña de desinformación/PSYOPS dirigida a ucranianos y disidentes en Rusia. Además, ESET detectó campañas de spearphishing dirigidas a una empresa de defensa ucraniana y a una agencia de la UE en 2023, con el objetivo de robar credenciales para cuentas de Microsoft Office 365. Actualmente, la Operación Texonto no está atribuida a un actor de amenazas específico. Sin embargo, dadas las TTP, los objetivos y la difusión de los mensajes, existe una alta probabilidad de que la campaña fuera realizada por un grupo alineado con los intereses de Rusia.
ROMCOM
También conocido como Storm-0978, Tropical Scorpius o UNC2596. Un grupo alineado con Rusia que lleva a cabo tanto operaciones de cibercrimen oportunistas contra sectores empresariales seleccionados como operaciones de espionaje dirigido, recopilando inteligencia. Vinculado con el despliegue del llamado ransomware 'Cuba' desde al menos 2022. Más recientemente, se ha dedicado a atacar al gobierno y al sector de defensa de Ucrania, a los aliados de la OTAN y a múltiples organizaciones gubernamentales en Europa.
SAINTBEAR
También conocido como UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 o TA471. Grupo de ciberespionaje que se dirige a Ucrania y Georgia. Activo desde al menos 2021. Se cree que está alineado con Rusia. Particularmente interesado en objetivos de alto perfil, principalmente en el sector gubernamental ucraniano. Despliega infostealers y puertas traseras (backdoors) en máquinas comprometidas. Se observó el despliegue de Cobalt Strike en 2022. Evaluado con alta confianza como responsable del ataque WhisperGate en 2022.
SANDWORM
Grupo de amenazas alineado con Rusia que realiza diversos ataques destructivos. Se atribuye habitualmente a la Unidad 74455 de la Dirección Principal de Inteligencia de Rusia (GRU). Conocido principalmente por los ataques contra el sector energético ucraniano en 2015 y 2016, que provocaron cortes de electricidad. ESET rastrea las actividades del grupo bajo varios subgrupos: el subgrupo TeleBots, interesado principalmente en atacar entidades financieras en Ucrania; GreyEnergy, conocido por el uso intensivo de su malware homónimo contra objetivos de infraestructuras críticas, detectado en empresas energéticas de Polonia, Ucrania y Georgia. En 2018, el grupo lanzó el ataque de borrado de datos Olympic Destroyer contra los organizadores de los Juegos Olímpicos de Invierno en PyeongChang. Utiliza malware avanzado como Industroyer, que es capaz de comunicarse con equipos de empresas energéticas a través de protocolos de control industrial. En 2020, el Departamento de Justicia de EE. UU. publicó una acusación contra seis hackers informáticos rusos, alegando que prepararon y llevaron a cabo diversos ataques del grupo.
SEDNIT
También conocido como APT28, Fancy Bear, Forest Blizzard o Sofacy. Opera desde al menos 2004. El Departamento de Justicia de EE. UU. nombró al grupo como uno de los responsables del hackeo del Comité Nacional Demócrata (DNC) justo antes de las elecciones de EE. UU. de 2016 y vinculó al grupo con el GRU. También se presume que está detrás del hackeo de la red de televisión mundial TV5Monde, la filtración de correos electrónicos de la Agencia Mundial Antidopaje (WADA) y muchos otros incidentes. El grupo cuenta con un conjunto diversificado de herramientas de malware en su arsenal, pero hoy en día realiza principalmente campañas de phishing dirigidas. No obstante, todavía se le ha observado desplegando implantes avanzados personalizados.
THE DUKES
También conocido como APT29, Cozy Bear o Nobelium. Un infame grupo de ciberespionaje, activo desde al menos 2008. Según el NCSC-UK, está asociado con el SVR (Servicio de Inteligencia Exterior de la Federación Rusa). Conocido como uno de los grupos que hackeó el Comité Nacional Demócrata de EE. UU. en el periodo previo a las elecciones de 2016. En 2019, ESET expuso su operación de espionaje a gran escala dirigida a múltiples ministerios de asuntos exteriores europeos. Conocido por el ataque a la cadena de suministro de 2020 aprovechando SolarWinds, que condujo al compromiso de importantes organizaciones, incluidas muchas partes del gobierno de EE. UU. Responsable de varias campañas de spearphishing en 2021, dirigidas a diplomáticos en Europa.
TURLA
También conocido como Snake. Un grupo de ciberespionaje activo desde al menos 2004, que posiblemente se remonta a finales de la década de 1990. Se cree que forma parte del FSB. Se centra principalmente en objetivos de alto perfil, como gobiernos y entidades diplomáticas, en Europa, Asia Central y Oriente Medio. El grupo es conocido por haber vulnerado importantes organizaciones como el Departamento de Defensa de EE. UU. en 2008 y la empresa de defensa suiza RUAG en 2014.
UAC-0099
Grupo de ciberespionaje dirigido a organizaciones gubernamentales, instituciones financieras y medios de comunicación en Ucrania. Activo desde al menos 2022. Basándose en sus objetivos, se cree con una confianza media que el grupo está alineado con los intereses rusos. Normalmente despliega LONEPAGE, un descargador de PowerShell llamado así por la presencia de la palabra "page" en los enlaces de CyC (mando y control).
VERMIN
También conocido como UAC-0020. Grupo de amenazas alineado con Rusia conocido por ciberataques de espionaje contra objetivos gubernamentales y militares en Ucrania. Activo desde al menos 2015. Se cree que el grupo está asociado con la llamada República Popular de Luhansk.
ZEBROCY
También conocido como UAC-0063 o TAG-110. Grupo de amenazas alineado con Rusia conocido por ataques de ciberespionaje contra objetivos gubernamentales, militares y relacionados con asuntos exteriores en Asia Central y Ucrania. Activo desde al menos 2015. El conjunto de herramientas de malware Zebrocy sirve para campañas de ataques dirigidos y contiene todas las capacidades necesarias para el espionaje, como registro de pulsaciones de teclas (keylogging), captura de pantalla, reconocimiento, listado y exfiltración de archivos, y más. Se ha desarrollado de forma modular, lo que permite actualizaciones y la ejecución de nuevos módulos entregados por los operadores.
TRANSPARENT TRIBE
También conocido como Operación C-Major, Mythic Leopard, ProjectM, APT36 o Earth Karkaddan. Grupo de ciberespionaje que se dirige al ejército indio y activos relacionados en la India, así como a activistas y a la sociedad civil en Pakistán. Trend Micro y otros han realizado débiles atribuciones a una conexión pakistaní. El grupo utiliza la ingeniería social y el phishing para desplegar malware. Históricamente, ha desplegado puertas traseras, especialmente CrimsonRAT, contra víctimas que utilizan Windows, con el uso ocasional de la puerta trasera para Android AndroRAT.
ARID VIPER
También conocido como APT-C-23, Desert Falcons o Two-tailed Scorpion. Grupo de ciberespionaje conocido por dirigirse a países de Oriente Medio. Activo desde al menos 2013. Se dirige principalmente a víctimas palestinas e israelíes, incluidos los cuerpos de seguridad, militares y gobierno, pero también a activistas y estudiantes. Despliega un vasto arsenal de malware para las plataformas Android, iOS y Windows, incluyendo varias puertas traseras personalizadas. Se cree que el grupo está afiliado a Hamás y que opera desde la Franja de Gaza.
BAHAMUT
Grupo APT especializado en ciberespionaje. Se cree que su objetivo es robar información sensible. También se le conoce como un grupo de mercenarios que ofrece servicios de hacking por encargo a una amplia gama de clientes. Normalmente se dirige a entidades e individuos en Oriente Medio y el sur de Asia con mensajes de spearphishing y aplicaciones falsas como vector de ataque inicial.
BIBIGUN
Grupo hacktivista respaldado por Hamás. Apareció por primera vez durante la guerra entre Israel y Hamás de 2023. El grupo es conocido por desplegar wipers contra objetivos israelíes, utilizando binarios tanto de Windows como de Linux. El wiper inicial del grupo fue descubierto por Security Joes en 2023, y otro fue descubierto por ESET e informado el mismo año.
BLADEHAWK
Un grupo de amenazas de ciberespionaje de Oriente Medio, descubierto en 2020. Históricamente se ha dirigido al grupo étnico kurdo del norte de Irak. El grupo ha utilizado malware tanto para Windows como para Android para atacar a sus víctimas. En 2021, ESET describió una campaña de espionaje del grupo, distribuida a través de contenido pro-kurdo en Facebook, dirigida a usuarios móviles con puertas traseras de Android.
POLONIUM
Grupo de ciberespionaje, documentado por primera vez en 2022. Se cree que el grupo tiene su sede en el Líbano y se dirige principalmente a organizaciones israelíes. Su conjunto de herramientas consta de siete puertas traseras personalizadas, incluida una que abusa de los servicios en la nube OneDrive y Dropbox para el CyC (mando y control), y otras que utilizan los servicios de almacenamiento de archivos Dropbox y Mega. El grupo también ha utilizado varios módulos personalizados para espiar a sus objetivos.
STEALTH FALCON
Un grupo de amenazas asociado con los Emiratos Árabes Unidos. Activo desde 2012. Conocido por dirigirse a activistas políticos, periodistas y disidentes en Oriente Medio. Descubierto y descrito por primera vez por Citizen Lab en su análisis de ataques de spyware publicado en 2016. En 2019, Amnistía Internacional concluyó que Stealth Falcon y Project Raven, una iniciativa que supuestamente emplea a antiguos operativos de la NSA, son el mismo grupo.
STRONGPITY
Alias PROMETHIUM o APT-C-41. Grupo de ciberespionaje, activo desde al menos 2012. Se dirige principalmente a entidades situadas en Turquía, pero ha operado en todo el mundo. Históricamente, se ha dirigido a la plataforma Windows con su malware homónimo. Sin embargo, a finales de 2022, también se atribuyeron al grupo dos campañas que distribuían aplicaciones de Android troyanizadas.
ASYLUM AMBUSCADE
Un grupo de cibercrimen que ha estado realizando operaciones de ciberespionaje de forma paralela. Se dio a conocer públicamente por primera vez en marzo de 2022, después de que el grupo se dirigiera al personal de gobiernos europeos implicados en la ayuda a los refugiados ucranianos, pocas semanas después del inicio de la guerra entre Rusia y Ucrania.
CLOUD ATLAS
También conocido como Inception Framework. Grupo de ciberespionaje, activo desde al menos 2014. También se cree que es una derivación de Red October, un antiguo grupo de ciberespionaje que posiblemente fue una colaboración entre dos países, según el blog de seguridad Chronicle (ahora parte de Google Security Operations). El grupo se dirige principalmente a gobiernos y empresas de sectores estratégicos como la defensa en Rusia, Europa y el Cáucaso.
FROSTY NEIGHBOR
También conocido como UNC1151, DEV-0257, PUSHCHA, Storm-0257 o TA445. Activo desde al menos 2016. Supuestamente opera desde Bielorrusia. La mayoría de las operaciones del grupo se han dirigido a países vecinos de Bielorrusia; una pequeña minoría se ha observado en otros países europeos. Lleva a cabo campañas de influencia y desinformación, pero también ha comprometido a diversas entidades gubernamentales y del sector privado, con especial atención a Ucrania, Polonia y Lituania.
MOUSTACHED BOUNCER
Grupo de ciberespionaje revelado por primera vez por ESET. Activo desde al menos 2014. Se dirige principalmente a embajadas extranjeras en Bielorrusia. Desde 2020, lo más probable es que el grupo haya podido realizar ataques de tipo "adversary-in-the-middle" (adversario en el medio) a nivel de ISP, dentro de Bielorrusia, con el fin de comprometer a sus objetivos.
WINTER VIVERN
Grupo de ciberespionaje, descubierto por primera vez en 2021. Se cree que ha estado activo desde al menos 2020. Se dirige a gobiernos de Europa y Asia Central. El grupo utiliza documentos maliciosos, sitios web de phishing y una puerta trasera de PowerShell personalizada para comprometer a sus objetivos. Desde 2022, también se ha dirigido específicamente a los servidores de correo electrónico Zimbra y Roundcube. En 2023, ESET observó al grupo explotando antiguas vulnerabilidades XSS en Roundcube.
XDSPY
Grupo de ciberespionaje, activo desde al menos 2011. Conocido por dirigirse a entidades gubernamentales como ejércitos, ministerios de asuntos exteriores y empresas estatales en Europa del Este (incluida Rusia) y los Balcanes. El grupo utiliza correos electrónicos de spearphishing para comprometer a sus objetivos. En 2020, explotó una vulnerabilidad en Internet Explorer cuando no había ninguna prueba de concepto y se disponía de muy poca información pública sobre ella. Es probable que el grupo comprara este exploit a un bróker.
APT-C-60
También conocido como False Hunter o APT-Q-12. Grupo de ciberespionaje alineado con Corea del Sur, activo desde al menos 2018. Se centra principalmente en objetivos de alto perfil como gobiernos, las industrias comerciales y centros de pensamiento. El grupo utiliza eventos potencialmente interesantes, o sus operadores se hacen pasar por estudiantes que piden opiniones sobre temas de investigación relevantes, para atraer a sus objetivos. Opera descargadores personalizados y una puerta trasera modular entregada a través de correos electrónicos de spearphishing. Sus operaciones se caracterizan por el despliegue de múltiples etapas de descarga y una puerta trasera modular capaz de cargar complementos.
ANDARIEL
Considerado un subgrupo de Lazarus (vinculado a Corea del Norte). Sus actividades se remontan a 2009. El grupo centra sus operaciones principalmente en objetivos surcoreanos, incluyendo tanto entidades gubernamentales como militares, así como empresas como bancos, casas de cambio de criptomonedas y corredores en línea. Sus objetivos se centran en el ciberespionaje o en el beneficio económico. Entre los incidentes del grupo divulgados públicamente se encuentran los ataques contra la Exposición Internacional Aeroespacial y de Defensa de Seúl (ADEX) en 2015 y la central nuclear de Kudankulam (KKNPP) de la India en 2019.
DECEPTIVE DEVELOPMENT
Un grupo alineado con Corea del Norte, documentado por primera vez en 2023. Sus operadores se centran principalmente en el beneficio económico, dirigiéndose a desarrolladores de software en Windows, Linux y macOS para robar criptomonedas, con un posible objetivo secundario de realizar ciberespionaje. El grupo utiliza perfiles de reclutadores falsos en las redes sociales. Se pone en contacto con desarrolladores de software, a menudo aquellos que participan en proyectos de criptomonedas, proporcionando a las víctimas potenciales bases de código troyanizadas que despliegan puertas traseras como parte de un proceso de entrevista de trabajo ficticio.
KIMSUCKY
Grupo de ciberespionaje vinculado a Corea del Norte. Activo desde al menos 2013. Inicialmente, el grupo se dirigía a entidades relacionadas con Corea del Sur; sin embargo, en los últimos años ha ampliado sus actividades de forma más general, incluyendo a Estados Unidos y países europeos. Se dirige a entidades gubernamentales, institutos de investigación, empresas de criptomonedas y empresas privadas, siendo su objetivo principal el ciberespionaje y la recopilación de inteligencia.
KONNI
Un grupo de actores de amenazas alineado con Corea del Norte. Reportado por primera vez por analistas en 2017. Se dirige principalmente a instituciones políticas rusas y surcoreanas. A menudo utiliza ataques de spearphishing para obtener acceso inicial y confía en la herramienta personalizada de administración remota (RAT) para la persistencia y el acceso continuo a la máquina de la víctima. Mientras que algunos investigadores de seguridad sitúan al grupo bajo el paraguas de ScarCruft (APT37), Lazarus o Kimsuky, ESET no puede corroborar esas afirmaciones.
LAZARUS
También conocido como HIDDEN COBRA. Grupo APT vinculado a Corea del Norte. Activo desde al menos 2009. Responsable de incidentes de alto perfil como el hackeo de Sony Pictures Entertainment y robos cibernéticos que costaron decenas de millones de dólares en 2016, el brote de WannaCryptor (también conocido como WannaCry) en 2017, y una larga historia de ataques perturbadores contra la infraestructura pública y crítica de Corea del Sur desde al menos 2011. La diversidad, el número y la excentricidad en la implementación de las campañas definen a este grupo, así como su participación en los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y búsqueda de beneficios económicos.
OPERACIÓN IN(TER)CEPTION
Nombre de ESET para una serie de ataques atribuidos al grupo. Estos ataques han estado en curso desde al menos 2019, dirigidos a empresas aeroespaciales, militares y de defensa. La operación destaca por el uso de spearphishing basado en LinkedIn y el empleo de trucos eficaces para pasar desapercibidos. Como sugiere el nombre In(ter)ception, su objetivo principal parece ser el espionaje corporativo.
SCARCRUFT
También conocido como APT37 o Reaper. Sospechoso de ser un grupo de espionaje norcoreano. Opera desde al menos 2012. Se centra principalmente en Corea del Sur, pero también se dirige a otros países asiáticos. El grupo parece estar interesado principalmente en organizaciones gubernamentales y militares, y en empresas de diversas industrias vinculadas a los intereses norcoreanos. Su conjunto de herramientas contiene una amplia gama de descargadores, herramientas de exfiltración y puertas traseras utilizadas para el espionaje.
AGRIUS
Grupo de cibersabotaje con una supuesta afiliación a Irán. Activo desde 2020. Ha estado atacando a víctimas en Israel y los Emiratos Árabes Unidos. Inicialmente, el grupo desplegó un wiper disfrazado de ransomware, pero más tarde lo modificó para convertirlo en un ransomware hecho y derecho. Explota vulnerabilidades conocidas en aplicaciones expuestas a Internet para instalar webshells, y luego realiza un reconocimiento interno antes de moverse lateralmente.
BALLISTIC BOBCAT
Rastreado anteriormente como APT35 y APT42 (también conocido como Charming Kitten, TA453 o PHOSPHORUS). Sospechoso de ser un actor estatal iraní que se dirige a organizaciones educativas, gubernamentales y sanitarias, así como a activistas de derechos humanos y periodistas. Más activo en Israel, Oriente Medio y Estados Unidos. Durante la pandemia, se dirigió a organizaciones relacionadas con el COVID-19, incluyendo la Organización Mundial de la Salud y Gilead Pharmaceuticals, así como al personal de investigación médica.
BLADEDFELINE
Grupo de ciberespionaje alineado con Irán. Activo desde al menos 2017. Descubierto por primera vez en 2023, dirigiéndose a funcionarios diplomáticos kurdos con su puerta trasera. En 2024, continuó atacando a esos funcionarios kurdos, junto con funcionarios del gobierno iraquí y un proveedor regional de telecomunicaciones en Uzbekistán. Se ha evaluado con alta confianza que el grupo es un subgrupo de OilRig, también conocido como APT34 o Hazel Sandstorm (anteriormente EUROPIUM), que comparte atributos con BladeHawk y FreshFeline.
CYBERTOUFAN
Un grupo de actores de amenazas conocido por sus ciberataques contra organizaciones israelíes. Se cree que el grupo tiene su sede en Turquía, pero lleva a cabo ataques que se alinean con los objetivos del gobierno iraní. Existe una conexión entre el grupo y Frankenstein, un grupo que históricamente ha trabajado para apoyar los intereses de los Territorios Palestinos y que también está alineado con los intereses de Irán. El grupo ha participado en operaciones de hackeo y filtración, violaciones de datos y destrucción de datos.
DOMESTIC KITTEN
Una campaña llevada a cabo por el grupo APT-C-50. En la campaña, el grupo ha estado realizando operaciones de vigilancia móvil contra ciudadanos iraníes desde 2016, según informó Check Point en 2018. En 2019, Trend Micro identificó una campaña maliciosa, posiblemente relacionada con Domestic Kitten, dirigida a Oriente Medio, denominando a la campaña Bouncing Golf. Poco después, ese mismo año, Qianxin informó de una campaña de Domestic Kitten dirigida de nuevo a Irán. En 2020, 360 Core Security reveló actividades de vigilancia por parte de Domestic Kitten dirigidas a grupos antigubernamentales en Oriente Medio. El último informe disponible públicamente es de 2021, realizado por Check Point.
FRESHFELINE
También conocido como MosesStaff. Un grupo de ciberespionaje iraní que se dirige a una variedad de sectores en Israel, Italia, India, Alemania, Chile, Turquía, los Emiratos Árabes Unidos y los EE. UU. Activo desde al menos 2021, cuando desplegó una puerta trasera previamente desconocida dirigida a dos empresas en Israel. En 2021, desplegó ransomware contra víctimas en Israel. El grupo se dirige a servidores Microsoft Exchange expuestos a Internet con vulnerabilidades conocidas y no parcheadas como medio principal de entrada, seguido de movimientos laterales y el despliegue de su propia puerta trasera personalizada.
GALAXY GATO
También conocido como C5, Smoke Sandstorm, TA455 o UNC1549. Grupo de ciberespionaje alineado con los intereses del gobierno iraní. Activo desde al menos 2022. El grupo se dirige a organizaciones en Oriente Medio (incluyendo, entre otros, Israel, Omán y Arabia Saudí) y en los Estados Unidos en los sectores aeroespacial, de aviación y de defensa. Sus métodos se solapan con Tortoiseshell, un grupo vinculado a la organización de Guerra Electrónica y Ciberdefensa (EWCD) del Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán, y con APT33, que también está vinculado a la IRGC-EWCD. Los métodos típicos del grupo incluyen el spearphishing mediante el uso de dominios de typosquatting, el password spraying (pulverización de contraseñas) y el desarrollo y despliegue de puertas traseras personalizadas.
LYCEUM
También conocido como HEXANE o Storm-0133. Un subgrupo de OilRig, activo desde al menos 2017. El grupo se ha dirigido a organizaciones en Oriente Medio, con especial atención a las organizaciones israelíes, incluidas las entidades gubernamentales nacionales y locales y las organizaciones sanitarias. Las principales herramientas atribuidas al grupo incluyen varias puertas traseras y una gama de descargadores que utilizan servicios legítimos en la nube para la comunicación de CyC (mando y control).
MUDDYWATER
Grupo de ciberespionaje vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Activo desde al menos 2017. El grupo se dirige a víctimas en Oriente Medio y Norteamérica, centrándose en las telecomunicaciones, las organizaciones gubernamentales y las industrias del petróleo y la energía. Sus operadores utilizan con frecuencia puertas traseras basadas en scripts como PowerShell. Su método preferido de acceso inicial son los correos electrónicos de spearphishing con archivos adjuntos, a menudo archivos PDF con enlaces que apuntan a repositorios de almacenamiento de archivos como Egnyte y OneHub.
OILRIG
También conocido como APT34 o Hazel Sandstorm (anteriormente EUROPIUM). Grupo de ciberespionaje que se cree comúnmente que tiene su sede en Irán. Activo desde al menos 2014. El grupo se dirige a los gobiernos de Oriente Medio y a diversos sectores empresariales, como las industrias química, energética, financiera y de telecomunicaciones. Sus campañas notables incluyen la campaña DNSpionage de 2018 y 2019, dirigida a víctimas en el Líbano y los Emiratos Árabes Unidos; la campaña HardPass de 2019-2020, utilizando LinkedIn para dirigirse a víctimas de Oriente Medio en los sectores energético y gubernamental; el ataque de 2020 contra una organización de telecomunicaciones en Oriente Medio; y los ataques de 2023 dirigidos a organizaciones en Oriente Medio. Además de estos incidentes, ESET rastrea otras actividades relacionadas con OilRig bajo subgrupos separados: Lyceum, ShroudedSnooper y BladedFeline.
SHROUDED SNOOPER
También conocido como Scarred Manticore o Storm-0861. Un subgrupo de OilRig activo desde al menos 2019. Identificado por primera vez por Microsoft en los ataques destructivos de 2021-2022 contra el gobierno albanés, habiendo proporcionado el acceso inicial a la red para otros subgrupos de OilRig mediante la explotación de aplicaciones de cara al público. En 2023, el grupo llevó a cabo ataques contra organizaciones gubernamentales, militares y empresas de telecomunicaciones en Oriente Medio.
TORTOISESHELL
También conocido como Crimson Sandstorm, Imperial Kitten, TA456 o Yellow Liderc. Grupo de ciberespionaje, activo desde al menos 2019. El grupo utiliza la ingeniería social y correos electrónicos de phishing para el acceso inicial y confía en gran medida en las macros de Microsoft Office y en implantes de etapa temprana, que se utilizan para el reconocimiento del sistema y de la red. Los objetivos suelen incluir los sectores marítimo, marítimo y logístico de EE. UU., Europa y Oriente Medio.
WILDPRESSURE
Grupo de ciberespionaje dirigido a víctimas en Oriente Medio en los sectores del petróleo, el gas y la ingeniería. Activo desde al menos 2019, cuando se descubrió su primera puerta trasera. En 2021, se observó al grupo desplegando herramientas adicionales.
DONOT TEAM
También conocido como APT-C-35 o SectorE02. Un actor de amenazas alineado con la India que opera desde al menos 2016. Un informe de 2021 de Amnistía Internacional vinculó el malware del grupo a una empresa de ciberseguridad india que podría estar vendiendo el spyware u ofreciendo un servicio de hackers por encargo a los gobiernos de la región. El grupo se dirige a organizaciones en el sur de Asia utilizando malware para Windows y Android, con la mayoría de las víctimas situadas en Pakistán, Bangladesh, Sri Lanka, Nepal y China. Sus campañas se centran en el espionaje, utilizando su marco de malware característico, cuyo objetivo principal es recopilar y exfiltrar datos.
BACKDOOR DIPLOMACY
Nombre que utiliza ESET para un subgrupo de APT15 que se dirige principalmente a organizaciones gubernamentales y empresas de telecomunicaciones en África y Oriente Medio. Activo desde al menos 2017. En 2022, Bitdefender documentó las actividades del grupo contra la industria de las telecomunicaciones en Oriente Medio. En 2023, Unit 42 compartió su análisis sobre el compromiso de las redes gubernamentales en Irán por parte del grupo. En 2021, ESET demostró vínculos entre el grupo y lo que Kaspersky rastrea como CloudComputating, un grupo activo desde al menos 2012. ESET también ha observado múltiples vínculos con otros subgrupos de APT15, como Mirage, Ke3chang y DigitalRecyclers.
BLACKWOOD
Un grupo APT alineado con China que participa en operaciones de ciberespionaje contra individuos y empresas chinas y japonesas. Activo desde al menos 2018. En 2020, investigadores de ESET descubrieron al grupo tras detectar archivos sospechosos en un sistema en China. Los operadores del grupo tienen la capacidad de llevar a cabo ataques de tipo "adversary-in-the-middle", lo que les permite entregar su implante a través de actualizaciones de software legítimo y ocultar la ubicación de sus servidores de CyC (mando y control) interceptando el tráfico generado por el implante.
BRONZE SILHOUETTE
También conocido como Volt Typhoon o Vanguard Panda. Grupo de ciberespionaje alineado con China, activo desde al menos 2022. Se dirige principalmente a la industria de defensa y a organizaciones críticas en los EE. UU. Se hizo público por primera vez en 2023, después de ser sorprendido atacando infraestructuras críticas en Guam, un territorio insular estadounidense en el Pacífico occidental que alberga varias bases militares de los EE. UU.
CERANA KEEPER
Grupo de ciberespionaje alineado con China, activo desde al menos principios de 2022. Se dirige principalmente a entidades gubernamentales del sudeste asiático. El grupo es conocido por sus componentes documentados, TONEINS, TONESHELL y PUBLOAD, el uso de herramientas disponibles públicamente y técnicas de exfiltración que utilizan servicios en la nube y de intercambio de archivos. Algunas de sus actividades se han atribuido a Mustang Panda (también conocido como Earth Preta o Stately Taurus). Sin embargo, ESET atribuye estas actividades a un grupo separado.
CLOUDSORCERER
Un actor de amenazas informado públicamente por primera vez en 2024; sin embargo, los datos de telemetría de ESET contienen rastros de la actividad del grupo desde principios de 2022. El grupo lleva a cabo operaciones de ciberespionaje contra organizaciones gubernamentales y el sector tecnológico en Rusia, y centros de pensamiento en los Estados Unidos. Sus operaciones se caracterizan por correos electrónicos de spearphishing con un archivo adjunto. El grupo aprovecha la técnica de carga lateral trident para entregar la puerta trasera principal del grupo y para abusar posteriormente de servicios en la nube como Yandex, OneDrive o Dropbox para recibir comandos.
DIGITAL RECYCLERS
Un actor de amenazas descubierto por ESET. Activo desde al menos 2018. El grupo lleva a cabo regularmente operaciones de espionaje contra organizaciones gubernamentales en Europa. Se cree con baja confianza que el grupo está vinculado a Ke3chang y BackdoorDiplomacy.
EVASIVE PANDA
También conocido como BRONZE HIGHLAND, Daggerfly y StormBamboo. Grupo APT alineado con China, que opera desde al menos 2012. Su objetivo es el ciberespionaje contra países y organizaciones que se oponen a los intereses de China a través de movimientos de independencia como los de la diáspora tibetana, instituciones religiosas y académicas en Taiwán y en Hong Kong, y partidarios de la democracia en China. ESET ha observado en ocasiones que sus operaciones se extienden a países como Vietnam, Myanmar y Corea del Sur. El grupo ha acumulado una impresionante lista de métodos de ataque, como ataques a la cadena de suministro y watering-hole (pozo de agua), y secuestro de DNS. También demuestra una fuerte capacidad para el desarrollo de malware, como se muestra en su extensa colección de puertas traseras multiplataforma para Windows, macOS y Android.
FAMOUSSPARROW
Grupo de ciberespionaje alineado con China. Se cree que ha estado activo desde al menos 2019. El grupo era conocido inicialmente por dirigirse a hoteles de todo el mundo, pero también se ha dirigido a gobiernos, organizaciones internacionales, grupos comerciales, empresas de ingeniería y bufetes de abogados. Es el único usuario conocido de la puerta trasera SparrowDoor. El grupo está vinculado al grupo Earth Estries, pero no se conoce del todo la naturaleza exacta del vínculo. También se ha vinculado públicamente con Salt Typhoon, pero, debido a la ausencia de indicadores técnicos, ESET los rastrea como entidades separadas.
FISHMONGER
También conocido como Earth Lusca, TAG-22, Aquatic Panda o Red Dev 10. Grupo de ciberespionaje que se cree que es operado por el contratista chino I-SOON y que cae bajo el paraguas de Winnti Group. ESET publicó un análisis del grupo a principios de 2020, cuando se dirigió intensamente a las universidades de Hong Kong durante las protestas cívicas allí. Describimos una campaña global dirigida a gobiernos, ONG y centros de pensamiento en toda Asia, Europa y los Estados Unidos. El grupo también es conocido por realizar ataques de watering-hole.
FLAX TYPHOON
También conocido como ETHEREAL PANDA. Grupo APT alineado con China, activo desde al menos 2021. Se dirige principalmente a organizaciones taiwanesas. El grupo utiliza la webshell China Chopper, la herramienta de escalada de privilegios Juicy Potato y sus múltiples variaciones, así como Mimikatz. Utiliza ampliamente binarios living-off-the-land (LOLBins) para evadir la detección.
FONTGOBIN
Grupo APT alineado con China. Los investigadores de ESET eligieron este nombre debido al uso prolongado por parte del grupo (desde al menos 2022) de archivos de fuentes falsos en el directorio C:\Windows\Fonts como cargas útiles encubiertas para un conjunto específico de cargadores. Se dirige predominantemente a entidades gubernamentales en Kirguistán, Uzbekistán, Kazajistán y Pakistán.
FONTFUNKYGORILLAS
Grupo APT alineado con China que se dirige a diversos sectores en Europa del Este y Asia Central. El grupo utiliza la puerta trasera Zmm y la RAT Trochilus. La puerta trasera Zmm está siendo desarrollada por el grupo StartupNation, que también desarrolla la RAT Mikroceen utilizada por el grupo APT SixLittleMonkeys.
GALLIUM
También conocido como Soft Cell, Alloy Taurus, Red Moros u Othorene. Grupo APT alineado con China que se dirige a proveedores de telecomunicaciones y organizaciones gubernamentales de todo el mundo. También es conocido por haberse dirigido al sector académico. Su conjunto de herramientas incluye una puerta trasera personalizada en C++, una webshell IIS basada en China Chopper, varios ladrones de credenciales basados en Mimikatz y varias herramientas comerciales disponibles.
GELSEMIUM
Grupo de ciberespionaje alineado con China. Activo desde al menos 2014. Ese año, G DATA publicó un informe técnico sobre la Operación TooHash, una campaña cuyas víctimas parecían estar ubicadas en Asia Oriental, según los documentos utilizados en la campaña. Los operadores utilizaron spearphishing con archivos adjuntos que explotaban una vulnerabilidad entonces antigua de Microsoft Office, así como tres componentes, dos de los cuales estaban firmados con un certificado robado. En 2016, Verint Systems realizó una presentación en HITCON, donde habló de una nueva actividad de la operación TooHash mencionada dos años antes, que seguía utilizando el mismo exploit contra Microsoft Office.
GOPHERWHISPER
Activo desde al menos 2023. Grupo de ciberespionaje alineado con China que se centra en la creación de puertas traseras (backdoors) y utiliza servicios legítimos como Discord, Slack y file.io para comunicaciones de comando y control (CyC) y exfiltración. A partir de 2025, la telemetría de ESET muestra que el grupo ha estado atacando instituciones gubernamentales en Mongolia.
GREF
Grupo de ciberespionaje alineado con China, activo desde al menos 2009. Nombrado así por el uso abundante de referencias a Google en su código y notable por utilizar ataques de compromiso por descarga (drive-by). El arsenal del grupo incluye malware para usuarios de Windows, OS X y Android. Documentado por primera vez en 2014, cuando utilizó una puerta trasera de OS X para atacar a empresas de electrónica e ingeniería en todo el mundo, así como a ONG con intereses en Asia. En 2020, Lookout descubrió cuatro puertas traseras de Android utilizadas para atacar a uigures, tibetanos y poblaciones musulmanas en todo el mundo, las cuales atribuyeron al grupo basándose en el solapamiento de la infraestructura de red. Aunque varias fuentes afirman que el grupo está asociado con APT15, los investigadores de ESET no tienen pruebas suficientes para respaldar esta conexión y, por lo tanto, continúan rastreándolo como un grupo separado.
KE3CHANG
Ke3chang (pronunciado ke-tri-chang) es el nombre que ESET utiliza para un subgrupo de APT15 que se dirige principalmente a organizaciones gubernamentales y misiones diplomáticas en Europa y América Latina. El nombre se basa en un informe de Mandiant de 2013 sobre la Operación Ke3chang, y lo utilizamos para actividades posteriores de APT15 reportadas por varias organizaciones entre 2016 y 2021. Las operaciones del grupo se caracterizan por el despliegue únicamente de puertas traseras simples de primera etapa con capacidades limitadas, y la posterior dependencia de operadores humanos para ejecutar comandos adicionales de forma manual, aprovechando utilidades integradas y disponibles públicamente para el reconocimiento.
KMA-VPN
También conocido como SuperJumper. Red de cajas de retransmisión operativa (ORB) que se ejecuta en servidores privados virtuales (VPS) en todo el mundo. Activa desde al menos 2023. Múltiples actores de amenazas alineados con China, incluidos DigitalRecyclers y BackdoorDiplomacy, utilizan esta red encubierta para anonimizar su tráfico de red y ocultar su verdadero origen.
LONGNOSEDGOBLIN
Grupo APT alineado con China descubierto por ESET en 2024. Ataca a entidades gubernamentales en Malasia con el objetivo de realizar ciberespionaje. El grupo despliega malware personalizado único para recopilar el historial del navegador de las víctimas y decidir dónde desplegar una puerta trasera que aprovecha el servicio en la nube Microsoft OneDrive. Además, utiliza la Directiva de Grupo de Active Directory para desplegar su malware y realizar movimientos laterales. Existe un pequeño solapamiento con el grupo APT ToddyCat, basado en las rutas de archivos y el uso de SoftEther VPN. Sin embargo, los conjuntos de herramientas generales son diferentes.
LOTUS BLOSSOM
También conocido como Lotus Panda y Billbug. Grupo APT alineado con China que ataca a organizaciones gubernamentales y marítimas en el sudeste asiático. Descubierto por primera vez en 2015. Emplea la puerta trasera Elsentric y varias herramientas adicionales, como Impacket y el proxy Venom.
LUCKYMOUSE
También conocido como APT27 o Emissary Panda. Grupo de ciberespionaje dirigido principalmente a gobiernos, empresas de telecomunicaciones y organizaciones internacionales. Activo en Asia Central, Oriente Medio, Mongolia, Hong Kong y América del Norte. Una de las técnicas distintivas del grupo es el uso de la carga lateral de DLL (DLL side-loading) para cargar sus puertas traseras.
MIRRORFACE
También conocido como Earth Kasha. Activo desde al menos 2019. Un actor de amenazas alineado con China que se dirige principalmente a empresas y organizaciones en Japón, así como a entidades en otros lugares con vínculos con Japón. ESET lo considera un subgrupo bajo el paraguas de APT10. Se ha informado que el grupo ataca a medios de comunicación, empresas relacionadas con la defensa, grupos de expertos (think tanks), organizaciones diplomáticas, instituciones financieras, instituciones académicas y fabricantes. Se centra en el espionaje y la exfiltración de archivos de interés.
MUSTANG PANDA
También conocido como TA416, RedDelta, PKPLUG, Earth Preta o Stately Taurus. Un grupo de ciberespionaje, que se cree tiene su base en China. Se dirige principalmente a entidades gubernamentales y ONG. Aunque es conocido por su campaña de 2020 contra el Vaticano, sus víctimas se encuentran principalmente en el este y sudeste asiático, con un enfoque en Mongolia. En sus campañas, el grupo utiliza frecuentemente cargadores personalizados para malware compartido.
PERPLEXED GOBLIN
También conocido como APT31. Un grupo de ciberespionaje alineado con China que se dirige principalmente a entidades gubernamentales en Europa. Utiliza un implante personalizado que puede desplegarse de varias maneras, incluyendo una cadena de carga lateral de DLL y una cadena de "trae tu propio software vulnerable" (BYOVS). Cabe destacar que el grupo tiene un arsenal más amplio de herramientas personalizadas, algunas de las cuales aún no hemos visto en acción.
PLUSHDAEMON
Actor de amenazas alineado con China activo desde al menos 2018. El grupo participa en operaciones de espionaje contra individuos y entidades en China, Taiwán, Hong Kong, Corea del Sur, Estados Unidos y Nueva Zelanda. Utiliza una puerta trasera personalizada y su principal técnica de acceso inicial es secuestrar actualizaciones legítimas redirigiendo el tráfico a servidores controlados por el atacante a través de un implante de red. Además, el grupo obtiene acceso a través de vulnerabilidades en servidores web y realizó un ataque a la cadena de suministro en 2023.
RED FOXTROT
Grupo APT activo desde al menos 2014. Ataca a los sectores gubernamental, de defensa y de telecomunicaciones en Asia Central, India y Pakistán. Se cree que forma parte de la Unidad 69010 del Ejército Popular de Liberación (EPL). Es uno de los grupos con acceso a la puerta trasera ShadowPad.
SINISTEREYE
Grupo APT alineado con China, activo desde al menos 2008. Realiza operaciones de ciberespionaje y vigilancia en China dirigidas a individuos, empresas, instituciones educativas y entidades gubernamentales nacionales y extranjeras. Las actividades del grupo son un subconjunto de las operaciones atribuidas al APT LuoYu (también conocido como CASCADE PANDA). Utiliza ataques de adversario en el medio (adversary-in-the-middle), a través del acceso a la red troncal de internet china, para secuestrar actualizaciones de software y entregar sus implantes para Windows y Android.
SNEAKY DRAGON
Un grupo APT que ataca entidades en el este y sudeste asiático. Activo desde al menos 2020. ESET cree que tiene su base en China. La herramienta distintiva del grupo es un malware modular diseñado con énfasis en proporcionar un acceso remoto sigiloso.
SPARKLING GOBLIN
Un grupo APT cuyas tácticas, técnicas y procedimientos (TTP) se solapan parcialmente con APT41 (también conocido como BARIUM). Aunque el grupo opera principalmente en el este y sudeste asiático, también ataca a organizaciones en una amplia gama de sectores en todo el mundo, con un enfoque particular en el sector académico. También es uno de los grupos con acceso a la puerta trasera ShadowPad.
SPECCOM
También conocido como IndigoZebra o SMAC. Activo desde al menos 2013. Según los informes, este grupo APT alineado con China es responsable de ataques a entidades políticas en algunos países de Asia Central, específicamente Afganistán, Uzbekistán y Kirguistán. Los investigadores de ESET también han observado sus ataques en Guinea Ecuatorial, Rusia, Tayikistán e Israel.
STARTUP NATION
Un grupo responsable de desarrollar y mantener malware para varios grupos APT alineados con China. Activo desde al menos 2016. ESET cree que el grupo proporciona su software a los grupos APT alineados con China que rastreamos como SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 y TA410. Ha desarrollado el conjunto de herramientas HDMan, el RAT Mikroceen (también conocido como BYEBY), la puerta trasera Zmm y la puerta trasera BeRAT.
STEPPE DRIVER
Grupo de espionaje alineado con China que opera desde la Región Autónoma de Mongolia Interior de la República Popular China. ESET descubrió al grupo en 2024 cuando atacó a un concesionario de coches en Francia. También ha atacado a entidades gubernamentales en Mongolia y a un bufete de abogados en América del Sur. Utiliza una amplia gama de herramientas, la mayoría de las cuales son compartidas entre grupos alineados con China. El grupo también es cliente de StartupNation.
TA410
Un grupo paraguas de ciberespionaje conocido principalmente por atacar a organizaciones con sede en EE. UU. en el sector de servicios públicos y organizaciones diplomáticas en Oriente Medio y África. Activo desde al menos 2018. Revelado públicamente por primera vez en 2019. Está compuesto por tres subgrupos que ESET ha denominado JollyFrog, LookingFrog y FlowingFrog. En 2020, la familia de malware FlowCloud, recién descubierta y muy compleja, también fue atribuida a TA410.
TA428
También conocido como ThunderCats. Grupo APT, activo desde al menos 2014. Ataca a gobiernos en el este de Asia, con un enfoque particular en Mongolia y Rusia. ESET cree que opera desde Pekín, en la República Popular China. El grupo utiliza puertas traseras personalizadas y herramientas compartidas. Es uno de los grupos con acceso a la puerta trasera ShadowPad.
THE WIZARDS
Grupo APT alineado con China, activo desde al menos 2021. Participa en operaciones de ciberespionaje contra individuos, empresas de juego y entidades desconocidas en Filipinas, los Emiratos Árabes Unidos y China. Los investigadores de ESET descubrieron a este actor de amenazas cuando una aplicación china popular conocida como Sogou Pinyin descargó una actualización maliciosa. El grupo tiene capacidades para realizar ataques de adversario en el medio, lo que le permite redirigir el tráfico y entregar su malware personalizado a través de actualizaciones.
TICK
También conocido como BRONZE BUTLER o REDBALDKNIGHT. Grupo APT sospechoso de estar activo desde al menos 2006. Ataca principalmente a países de la región APAC. Este grupo es de interés por sus operaciones de ciberespionaje, que se centran en el robo de información clasificada y propiedad intelectual.
TRAPPED GOBLIN
Un grupo alineado con China que utiliza malware modular personalizado, al que ESET denominó GrapHop
UNSOLICITED BOOKER
Actor de amenazas alineado con China que opera desde al menos 2023. El grupo realiza operaciones de ciberespionaje en Oriente Medio. El grupo se solapa con Space Pirates y el actor de amenazas que utiliza la puerta trasera Zardoor. Tiene acceso a varios implantes y también es cliente de StartupNation.
WEBSIIC
Alias ToddyCat. Descubierto por los investigadores de ESET en 2021 durante una investigación de ataques contra servidores Microsoft Exchange, a través del abuso de la vulnerabilidad ProxyLogon. Basándose en eso, es muy probable que sea un grupo APT alineado con China. Según Kaspersky, el grupo ha estado activo desde al menos 2020. Sus objetivos anteriores incluyen organizaciones en Nepal, Vietnam, Japón, Bangladesh y Ucrania. Los ataques del grupo suelen combinar el uso de malware propietario distinto y herramientas de hacking disponibles públicamente.
WEBWORM
Cyber espionage group first reported by Symantec in 2022. It is linked to other Chinese-aligned APT groups such as SixMonkeys and FishMonger. The group utilizes well-known malware families. It is also a customer of StartupNationGrupo de ciberespionaje informado por primera vez por Symantec en 2022. Está vinculado a otros grupos APT alineados con China como SixMonkeys y FishMonger. El grupo utiliza familias de malware bien conocidas. También es cliente de StartupNation
WINNTI GROUP
Activo desde al menos 2012. Se sabe que tiene su base en la ciudad china de Chengdu, provincia de Sichuan. Responsable de ataques de alto perfil a la cadena de suministro contra las industrias de videojuegos y software, lo que llevó a la distribución de múltiples softwares troyanizados que luego se utilizan para comprometer a más víctimas. El grupo también es conocido por haber comprometido varios objetivos en diferentes sectores, como la salud y la educación.
WOROK
Grupo de ciberespionaje alineado con China, activo desde al menos 2020. ESET cree que opera desde Pekín. El grupo se centra principalmente en objetivos en Mongolia, pero también ha atacado entidades en Kirguistán, Vietnam, Turquía, Indonesia y Namibia. Se dirige a organizaciones gubernamentales y otras del sector público, así como a empresas privadas. El grupo utiliza sus herramientas personalizadas y herramientas disponibles públicamente. Comparte herramientas y características adicionales con otros grupos alineados con China, en particular TA428. Cabe destacar que tiene acceso a la puerta trasera ShadowPad y es cliente del grupo proveedor de software StartupNation.
STURGEONPHISHER
También conocido como YoroTrooper. Grupo de ciberespionaje, activo desde al menos 2021. El grupo se centra en el spearphishing y el robo de credenciales de correo web. Ataca a funcionarios gubernamentales, grupos de expertos y empleados de empresas estatales en países limítrofes con el Mar Caspio, siendo la Federación Rusa el país más atacado. Dado el enfoque tan estrecho, es probable que el grupo opere desde un país de Asia Central. Basándose en la victimología y otros indicadores técnicos, ESET evalúa con baja confianza que el grupo está alineado con los intereses de Kazajistán.
Mantente informado. Mantente a la vanguardia.
INFORME DE AMENAZAS DE ESET, 2.º SEMESTRE DE 2025
Análisis en profundidad de las tendencias globales en materia de amenazas, la actividad regional de APT y la evolución del malware observada a través de la telemetría de ESET.
Resumen de la actividad APT
Últimas novedades sobre las campañas APT activas en todo el mundo.
WeLiveSecurity: Noticias destacadas e investigaciones
Análisis y comentarios de expertos de los investigadores de ESET sobre las últimas amenazas cibernéticas, descubrimientos y tendencias de seguridad.
Podcast de investigación de ESET: Explorando el panorama global de amenazas
Únete a nuestros analistas mientras debaten sobre atribución, herramientas y cambios en la actividad global
Descripción general de la solución
Obtén una visión detallada de la solución con descripciones detalladas y características destacadas.
PONTE EN CONTACTO CON NOSOTROS
¿Te gustaría saber más? Facilítanos tus datos de contacto y te enviaremos más información.
Podemos mostrarte una demostración, analizar una prueba de concepto o responder a cualquier pregunta que tengas.