Kaspersky reveló el descubrimiento de nuevas campañas de ciberespionaje vinculadas al grupo de amenazas persistentes (APT) conocido como HoneyMyte.
La organización ha perfeccionado sus herramientas para vigilar, robar información y operar de forma casi invisible dentro de redes corporativas y entidades gubernamentales.
De acuerdo con investigadores del equipo GReAT, el grupo fortaleció su principal herramienta maliciosa, conocida como CoolClient.
Esta versión incorpora capacidades para observar la actividad de los usuarios, incluyendo el monitoreo del portapapeles y el seguimiento de aplicaciones en uso.
Los expertos detectaron que el malware ahora puede robar credenciales de proxies de red, una técnica nunca antes observada en este grupo.
Esta capacidad amplía significativamente la posibilidad de los atacantes para moverse dentro de las redes sin ser detectados.
Las investigaciones muestran que CoolClient suele instalarse como backdoor junto a otras variantes como PlugX y LuminousMoth.
El grupo aprovecha archivos legítimos y firmados digitalmente, lo que dificulta que las soluciones de seguridad tradicionales identifiquen la amenaza.
“Estamos viendo ataques diseñados para observar silenciosamente cómo trabajan las personas: qué aplicaciones usan y qué información copian”, asegura Leandro Cuozzo, analista de seguridad en el equipo de investigación para América Latina en la firma.
Para mantenerse protegidas frente a HoneyMyte y otros APT, se recomienda a las organizaciones seguir estas buenas prácticas:
- Mantener una vigilancia constante frente a señales de espionaje digital, como comportamientos inusuales en los equipos, accesos inesperados a información sensible, uso de programas legítimos fuera de lo normal o movimientos de datos que no corresponden a las tareas habituales de los empleados, ya que estos ataques buscan operar de forma silenciosa durante largos periodos.
- Verificar qué programas y archivos están autorizados para ejecutarse en la organización, ya que muchos ataques avanzados ingresan usando software aparentemente legítimo que no debería estar activo en los equipos o servidores.
- Implementar soluciones que permiten detectar actividades anómalas en tiempo real, entender qué está ocurriendo dentro de la red y responder rápidamente antes de que la información crítica sea comprometida.
- Apoyarse en servicios de seguridad gestionada como Managed Detection and Response (MDR) o Incident Response, que ayudan a investigar ataques complejos, contenerlos a tiempo y aportar experiencia especializada cuando la organización no cuenta con equipos de ciberseguridad suficientes.
- Fortalecer la toma de decisiones con Inteligencia de Amenazas, que ofrece contexto claro sobre las amenazas activas y permite anticiparse a riesgos antes de que se conviertan en incidentes graves.
