Contenido
Entre 2024 y 2025, el sector de TI ruso, particularmente las empresas que actúan como contratistas e integradores para agencias gubernamentales, fue víctima de una serie de ciberataques encubiertos. Estas intrusiones estuvieron vinculadas a APT31, un grupo de amenaza persistente avanzada relacionado con China, conocido por su sigilo y persistencia. Los investigadores de Positive Technologies Daniil Grigoryan y Varvara Koloskova arrojaron luz sobre estos ataques, revelando cómo APT31 logró permanecer indetectado durante largos períodos mientras realizaba misiones de recopilación de inteligencia destinadas a asegurar influencia política, económica y militar para Pekín y empresas estatales afiliadas.\n\nAPT31, que ha estado operando desde al menos 2010 bajo numerosos alias incluyendo Altaire, Bronze Vinewood y Violet Typhoon, tiene una lista diversa de objetivos. Sus campañas abarcan gobiernos, instituciones financieras, sectores aeroespacial y de defensa, entre otros. En mayo de 2025, la República Checa acusó a este grupo de atacar su Ministerio de Asuntos Exteriores, demostrando el amplio alcance geográfico de APT31 más allá de Rusia. Las operaciones más recientes del grupo contra empresas de TI rusas dependieron en gran medida de servicios legítimos en la nube, especialmente plataformas nativas como Yandex Cloud, para enmascarar las comunicaciones de comando y control (C2) y el robo de datos, mezclando el tráfico malicioso con la actividad normal de la red para evitar la detección.\n\nLos atacantes también emplearon tácticas innovadoras como incrustar comandos y cargas útiles cifradas en perfiles de redes sociales y programar sus ataques durante fines de semana y días festivos para reducir las probabilidades de ser capturados. La evidencia muestra que al menos una empresa de TI rusa fue comprometida desde finales de 2022, con un aumento en la intensidad de los ataques durante el período de Año Nuevo 2023. Otro incidente notable de diciembre de 2024 involucró correos electrónicos de spear-phishing con archivos RAR maliciosos. Estos archivos contenían accesos directos de Windows usados para desplegar un cargador de Cobalt Strike llamado CloudyLoader mediante carga lateral de DLL, una técnica que explota procesos legítimos para ejecutar código dañino. El informe de Kaspersky de julio de 2025 vinculó parte de esta actividad a un grupo de amenazas conocido como EastWind, que supuestamente usaba archivos ZIP haciéndose pasar por documentos oficiales para engañar a las víctimas.\n\nEl conjunto de herramientas de APT31 es extenso y está en constante evolución. Combinan utilidades comerciales con malware personalizado para mantener la persistencia y realizar reconocimiento. Por ejemplo, usan herramientas como SharpADUserIP para el descubrimiento de red, SharpChrome.exe para extraer credenciales del navegador y VtChatter para comunicarse de forma encubierta mediante comentarios codificados en Base64 en VirusTotal. El grupo también utiliza servicios legítimos en la nube para canales de comunicación, aprovechando Microsoft OneDrive y Yandex Cloud para C2 y exfiltración de datos. Mantener la persistencia a menudo implica crear tareas programadas que imitan el comportamiento de aplicaciones confiables como Google Chrome o Yandex Disk, ocultando aún más su presencia.\n\nAdemás de herramientas basadas en Windows, APT31 despliega puertas traseras en Linux como AufTime, que usa wolfSSL para comunicaciones cifradas, y COFFProxy, una puerta trasera basada en Golang para tunelización de tráfico y entrega de cargas útiles. Otras herramientas especializadas incluyen Owawa, un módulo malicioso de IIS diseñado para el robo de credenciales, y LocalPlugX, una variante de propagación en red local de la familia de malware PlugX. La capacidad del grupo para tunelizar tráfico usando tecnologías como Tailscale VPN y túneles de desarrollador de Microsoft les ayuda a crear rutas seguras y cifradas entre sistemas infectados y sus servidores de comando.\n\nEn general, la combinación de vectores de ataque antiguos y nuevos de APT31, junto con su uso estratégico de plataformas en la nube y la programación de ataques fuera de horas laborales, le ha permitido permanecer oculto dentro de infraestructuras víctimas durante años. Esta campaña de espionaje silenciosa pero efectiva ha llevado al robo de datos sensibles, incluyendo contraseñas de buzones y servicios internos, destacando el desafío continuo de defender entornos de TI altamente dirigidos contra actores sofisticados de estados-nación.
