Líder: A lo largo del 2025, China, Rusia, Corea del Norte e Irán emplearon tácticas similares para acceder a sistemas críticos mediante vulnerabilidades y manteniendo un control prolongado. Estas operaciones subrayan la urgencia de una estrategia defensiva multifacética.
Lo que pasó: Talos Intelligence reportó que las investigaciones relacionadas con amenazas estatalmente respaldadas aumentaron en China en 2025, con un aumento del 75% en comparación con el año anterior. Nuevas vulnerabilidades se explotaron casi inmediatamente después de su revelación, a veces incluso antes de que los parches fueran ampliamente disponibles. Las mismas técnicas persistentes para mantener el acceso—web shells, backdoors personalizados y herramientas de tunelización—fueron utilizadas para controlar durante un largo período.
También se destacó la mayor superposición entre actividades estatalmente respaldadas y financieramente motivadas. En algunos casos, actores estatales realizaban operaciones para obtener beneficios personales junto con actividades de espionaje. En otros, ciberdelincuentes recolectaban información durante un ataque que luego vendían a actores de espionaje.
En Rusia, la actividad cibernética siguió estando fuertemente vinculada al conflicto ucraniano y a las sanciones globales. Muchas operaciones continuaron utilizando vulnerabilidades no parcheadas en dispositivos de red para obtener acceso inicial. Las familias de malware como Dark Crystal RAT (DCRAT), Remcos RAT y Smoke Loader aparecieron con frecuencia, reflejando la correlación estrecha entre sus operaciones y los acontecimientos geopolíticos.
En Corea del Norte, las operaciones se enfatizaron en ingeniería social y acceso interno para fines financieros e espionaje. Campañas como Contagious Interview (orquestadas por Famous Chollima) usaron técnicas de ingeniería social para engañar a empleados reales para ejecutar código o entregar credenciales, generando grandes ganancias y estableciendo el acceso persistente.
En Irán, las operaciones combinaban la visible interrupción con el acceso a largo plazo. Operaciones hacktivistas aumentaron en respuesta a eventos geopolíticos, mientras que grupos como ShroudedSnooper implementaban backdoors compactos para mantenerse ocultos y realizar espionaje persistente.
Por qué importa: Estas operaciones subrayan la necesidad de una estrategia defensiva multifacética. Defensores deben priorizar parches, seguridad de identidad y visibilidad en infraestructura de red para contrarrestar tanto accesos inmediatos como prolongados.
Detalles técnicos: Las operaciones estatalmente respaldadas continuaron utilizando vulnerabilidades recientemente descubiertas para obtener acceso inicial. Estas amenazas a menudo se traducen en un aumento significativo de actividades cibernéticas relacionadas con geopolítica, lo que subraya la necesidad de una estrategia defensiva multifacética.
Las tácticas comunes incluyen el uso de backdoors y herramientas de tunelización para mantener el acceso persistente. El uso de técnicas de ingeniería social y de accesos interno permitió a actores no estatales obtener información valiosa y establecer operaciones persistentes.
Lo que deben vigilar: Los defensores deben inspeccionar los sistemas antiguos para detectar la explotación de vulnerabilidades recién descubiertas, y fortalecer la seguridad de identidad y la visibilidad en infraestructura de red. La correlación entre eventos geopolíticos y actividad cibernética debe ser monitoreada continuamente.
Lo que sigue: Las tendencias observadas sugieren que la persistencia a largo plazo y el uso común de tácticas similares continuarán siendo una preocupación central. Defensores y empresas deben estar atentos a las nuevas vulnerabilidades y a cualquier correlación con eventos geopolíticos.