Los investigadores del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificaron recientemente dos campañas avanzadas que confirman la evolución del cibercrimen a nivel global: una operación de espionaje vinculada al antiguo grupo Hacking Team, hoy conocido como Memento Labs, y una serie de ataques financieros impulsados por inteligencia artificial (IA) ejecutados por el grupo BlueNoroff, una subdivisión del notorio Lazarus Group.

Ambos casos, reflejan cómo los actores de amenazas más sofisticados combinan ingeniería social, automatización y nuevas tecnologías para lograr sus objetivos, ya sea el espionaje político o el robo de información financiera.

Después de varios años de silencio, los expertos de Kaspersky descubrieron una nueva campaña de ciberespionaje activa denominada Operation ForumTroll, vinculada a Memento Labs. Los atacantes emplearon phishing personalizado —simulando invitaciones a un foro académico ruso— para infiltrarse en medios de comunicación, instituciones financieras y organismos gubernamentales.

Durante la investigación, los expertos identificaron un spyware altamente sofisticado llamado LeetAgent, que usaba un lenguaje de comandos poco común y estaba relacionado con otro programa aún más avanzado: Dante, desarrollado comercialmente por Memento Labs.

“Esta operación ha estado activa al menos desde 2022 y apunta principalmente a organizaciones en Rusia y Bielorrusia, con indicios de que los atacantes no son hablantes nativos de ruso. Revelar el origen de Dante fue un desafío que implicó desentrañar capas de código oculto y seguir su evolución a lo largo de los años, pero el ataque fue detectado gracias a Kaspersky Next XDR Expert, una de las soluciones avanzadas de detección y respuesta de la compañía”, comentó Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.

Paralelamente, Kaspersky detectó nuevas campañas del grupo BlueNoroff, que utiliza herramientas impulsadas por inteligencia artificial para crear ataques dirigidos a ejecutivos, inversionistas y desarrolladores del sector cripto y Web3. Las operaciones —denominadas GhostCall y GhostHire— se propagan a través de videollamadas falsas y ofertas de trabajo simuladas, respectivamente.

En GhostCall, que se enfoca principalmente en dispositivos macOS, las víctimas reciben invitaciones a reuniones de inversión y, durante la sesión, se les pide “actualizar el cliente” de Zoom o Teams, instalando sin saberlo un malware en su equipo. En GhostHire, el objetivo son desarrolladores y profesionales del sector blockchain. Los atacantes se hacen pasar por reclutadores que envían pruebas técnicas infectadas mediante GitHub y una vez que el candidato descarga y ejecuta el archivo, el malware se instala en su computadora y se adapta automáticamente al sistema operativo, ya sea Windows o macOS.

Los expertos advierten que la IA se ha convertido en una aliada del cibercrimen, pues permite a los atacantes desarrollar malware más rápido, crear sitios falsos más realistas y por ende, les resulta más fácil robar credenciales, información financiera y acceso corporativo con precisión quirúrgica.

Para ayudar a las empresas y organizaciones a evitar ser víctimas de operaciones como GhostCall y GhostHire, los expertos de Kaspersky recomiendan:

• Verificar la identidad de cualquier contacto antes de abrir archivos o enlaces recibidos por correo o redes sociales.

• No ejecutar comandos ni descargas no verificadas durante videollamadas.

• Implementar políticas de autenticación multifactor y cifrado.

• Utilizar soluciones de ciberseguridad que ofrecen visibilidad, detección y respuesta ante amenazas

• Complementar con servicios gestionados que cubren todo el ciclo de detección, análisis y respuesta ante incidentes.