Las amenazas persistentes avanzadas (APT) alineadas con intereses estatales continúan intensificando sus operaciones a escala global, consolidando el ciberespacio como un dominio clave para la proyección de poder geopolítico. El último análisis de ESET Research, basado en actividades observadas entre abril y septiembre de 2025, muestra cómo China, Rusia y Corea del Norte mantienen campañas activas y sostenidas contra gobiernos, infraestructuras críticas y sectores estratégicos en múltiples regiones del mundo.

Durante este periodo, los grupos alineados con China ampliaron significativamente su alcance geográfico, con operaciones detectadas en Asia, Europa, Estados Unidos y, de forma destacada, América Latina. ESET observó un aumento del uso de técnicas de adversary-in-the-middle tanto para el acceso inicial como para el movimiento lateral dentro de las redes comprometidas, un cambio táctico que podría estar vinculado al creciente interés estratégico de Estados Unidos en la región y al contexto de rivalidad entre Washington y Pekín.

Entre las campañas más relevantes destaca la actividad del grupo FamousSparrow, que llevó a cabo una serie de operaciones dirigidas principalmente contra entidades gubernamentales en América Latina. Argentina, Ecuador, Guatemala, Honduras y Panamá figuran entre los países afectados, lo que sugiere que la región se convirtió en uno de los principales focos operativos del grupo durante el periodo analizado.

Ucrania, epicentro permanente del ciberconflicto ruso en Europa

En paralelo, los grupos APT alineados con Rusia mantuvieron a Ucrania como objetivo central de sus operaciones, intensificando tanto el ciberespionaje como las acciones de carácter destructivo. Incluso cuando los ataques no se dirigieron directamente contra entidades ucranianas, ESET observó que muchos de los objetivos presentaban vínculos estratégicos u operativos con el país, lo que refuerza su papel central en los esfuerzos de inteligencia rusos.

El grupo RomCom explotó una vulnerabilidad zero-day en WinRAR para desplegar DLL maliciosas y múltiples backdoors, afectando principalmente a los sectores financiero, manufacturero, de defensa y logístico en la Unión Europea y Canadá. Por su parte, Gamaredon y Sandworm optaron mayoritariamente por técnicas de spearphishing, menos costosas que los zero-days, pero altamente efectivas. Gamaredon se mantuvo como el grupo más activo contra Ucrania, mientras que Sandworm centró sus operaciones en causar disrupción, con ataques dirigidos a los sectores gubernamental, energético, logístico y agrícola, con el objetivo de debilitar la economía ucraniana.

Nuevas tácticas y uso emergente de IA en campañas de espionaje

El análisis de ESET también revela una evolución en las tácticas empleadas por otros actores estatales. El grupo FrostyNeighbor, alineado con Bielorrusia, explotó una vulnerabilidad XSS en Roundcube para lanzar campañas de spearphishing contra empresas polacas y lituanas, utilizando correos electrónicos que imitaban comunicaciones empresariales legítimas. La estructura de estos mensajes, con un uso distintivo de viñetas y emojis, apunta a un posible empleo de herramientas de inteligencia artificial en la generación del contenido.

Asimismo, ESET detectó una campaña de spearphishing llevada a cabo por el actor ruso InedibleOchotense que suplantaba a la propia ESET, distribuyendo instaladores troyanizados que descargaban productos legítimos junto con la puerta trasera Kalambur, a través de correos electrónicos y mensajes en Signal.

En Asia, las APT continuaron focalizando sus ataques en entidades gubernamentales y en los sectores tecnológico, de ingeniería y manufactura. Los actores alineados con Corea del Norte se mantuvieron especialmente activos contra Corea del Sur y su industria tecnológica, con un interés particular en el sector de las criptomonedas, una fuente clave de financiación para el régimen.

Los datos analizados por ESET Research proceden principalmente de telemetría propia y han sido verificados por sus investigadores, que elaboran informes técnicos en profundidad y actualizaciones periódicas sobre la actividad de grupos APT. Estos análisis permiten a gobiernos y organizaciones responsables de la protección de ciudadanos, infraestructuras críticas y activos estratégicos comprender mejor la evolución del ciberespionaje y prepararse frente a amenazas de origen estatal cada vez más sofisticadas.