Los investigadores del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificaron recientemente dos campañas avanzadas que confirman la evolución del cibercrimen a nivel global: una operación de espionaje vinculada al antiguo grupo Hacking Team, hoy conocido como Memento Labs, y una serie de ataques financieros impulsados por inteligencia artificial (IA) ejecutados por el grupo BlueNoroff, una subdivisión del notorio Lazarus Group.
Ambos casos reflejan cómo los actores de amenazas más sofisticados combinan ingeniería social, automatización y nuevas tecnologías para lograr sus objetivos, ya sea el espionaje político o el robo de información financiera.
Espionaje avanzado: Operation ForumTroll y el regreso de Memento Labs
Después de varios años de silencio, los expertos de Kaspersky descubrieron una nueva campaña de ciberespionaje activa denominada Operation ForumTroll, vinculada a Memento Labs. Los atacantes emplearon phishing personalizado —simulando invitaciones a un foro académico ruso— para infiltrarse en medios de comunicación, instituciones financieras y organismos gubernamentales.
Durante la investigación, los expertos identificaron un spyware altamente sofisticado llamado LeetAgent, que usaba un lenguaje de comandos poco común y estaba relacionado con otro programa aún más avanzado: Dante, desarrollado comercialmente por Memento Labs.
“Esta operación ha estado activa al menos desde 2022 y apunta principalmente a organizaciones en Rusia y Bielorrusia, con indicios de que los atacantes no son hablantes nativos de ruso. Revelar el origen de Dante fue un desafío que implicó desentrañar capas de código oculto y seguir su evolución a lo largo de los años, pero el ataque fue detectado gracias a Kaspersky Next XDR Expert”, comentó Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.
BlueNoroff: ataques financieros potenciados por IA
Paralelamente, Kaspersky detectó nuevas campañas del grupo BlueNoroff, que utiliza herramientas impulsadas por IA para crear ataques dirigidos a ejecutivos, inversionistas y desarrolladores del sector cripto y Web3. Las operaciones —denominadas GhostCall y GhostHire— se propagan a través de videollamadas falsas y ofertas de trabajo simuladas, respectivamente.
En GhostCall, centrado principalmente en dispositivos macOS, las víctimas reciben invitaciones a reuniones de inversión y durante la sesión se les pide “actualizar el cliente” de Zoom o Teams, instalando sin saberlo un malware.
En GhostHire, el objetivo son desarrolladores y profesionales del sector blockchain. Los atacantes se hacen pasar por reclutadores que envían pruebas técnicas infectadas mediante GitHub y, una vez que el candidato ejecuta el archivo, el malware se instala y se adapta de forma automática al sistema operativo, ya sea Windows o macOS.
Los expertos advierten que la IA se ha convertido en una aliada del cibercrimen, acelerando el desarrollo de malware, la creación de sitios falsos y nuevas técnicas de robo de credenciales, información financiera y accesos corporativos.
Recomendaciones para prevenir estos ataques
Para ayudar a las organizaciones a evitar ser víctimas de operaciones como GhostCall y GhostHire, los expertos de Kaspersky recomiendan:
-
Verificar la identidad de cualquier contacto antes de abrir archivos o enlaces enviados por correo o redes sociales.
-
No ejecutar comandos ni descargas no verificadas durante videollamadas.
-
Implementar políticas de autenticación multifactor y cifrado.
-
Utilizar soluciones como Kaspersky Next, que ofrecen visibilidad, detección y respuesta ante amenazas.
-
Complementar con servicios gestionados como Managed Detection and Response e Incident Response, que cubren todo el ciclo de detección, análisis y respuesta ante incidentes.
Leer más
La nube híbrida redefine la ventaja competitiva en la era de la IA y la ciberseguridad
