El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificó una campaña de ciberespionaje en curso, denominada PassiveNeuron, que tiene como objetivo a organizaciones gubernamentales, financieras e industriales de América Latina, además de otras ubicadas en Asia y África.
La actividad maliciosa, observada por primera vez en diciembre de 2024 y activa hasta agosto de 2025, demuestra un interés sostenido de los atacantes en comprometer infraestructuras críticas de la región.
Tras un período de seis meses de inactividad, PassiveNeuron ha retomado sus operaciones con fuerza, utilizando tres herramientas principales (dos de ellas previamente desconocidas) para infiltrarse y mantener acceso persistente en las redes comprometidas:
- Neursite, una puerta trasera modular.
- NeuralExecutor, un implante basado en .NET.
- Cobalt Strike, un marco de pruebas de penetración usado frecuentemente por actores de amenazas.
Infiltración y persistencia en redes críticas
La herramienta Neursite permite a los atacantes obtener información sobre los sistemas afectados y moverse dentro de las redes comprometidas, aprovechando los equipos infectados para acceder a otros recursos críticos.
En algunos casos, los investigadores detectaron que esta herramienta se comunicaba tanto con servidores externos controlados por los atacantes como con otros sistemas internos ya comprometidos.
Por su parte, NeuralExecutor actúa como un componente que descarga y ejecuta instrucciones o archivos adicionales enviados de forma remota, lo que amplía sus funciones y le permite adaptarse a distintos entornos, incrementando su eficacia para mantener el control de los sistemas infectados.
“PassiveNeuron destaca por su enfoque en comprometer servidores, que a menudo son la columna vertebral de las redes organizacionales”, explicó Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
“Los servidores expuestos a Internet son objetivos especialmente atractivos para los grupos de amenazas persistentes avanzadas (APT), ya que un solo host comprometido puede otorgar acceso a sistemas críticos. Por ello, es esencial minimizar la superficie de ataque y monitorear continuamente las aplicaciones de servidor para detectar y detener posibles infecciones”, agregó.
Falsas banderas y posible origen del ataque
Durante el análisis del código, los investigadores detectaron nombres de funciones escritos con caracteres cirílicos, aparentemente introducidos de manera intencional por los atacantes.
Este tipo de elementos, conocidos como falsas banderas (false flag), pueden utilizarse para confundir a los analistas y desviar la atribución del ataque hacia otros grupos o regiones.
A partir de las tácticas y técnicas observadas, Kaspersky considera con bajo nivel de confianza que la operación podría estar vinculada a un actor de amenazas de habla china.
La compañía ya había identificado actividad de PassiveNeuron a comienzos de 2024, describiéndola como una campaña altamente sofisticada y orientada a evadir la detección.
Riesgos y consecuencias
Este tipo de ataques representa un riesgo significativo para las organizaciones, ya que los servidores comprometidos pueden ser utilizados para acceder a información confidencial, alterar procesos internos o interrumpir operaciones críticas.
“Al tratarse de equipos que suelen actuar como núcleo de las infraestructuras corporativas, un compromiso en estos sistemas puede abrir la puerta a una infiltración profunda y sostenida dentro de la red, permitiendo a los atacantes moverse lateralmente, instalar nuevas herramientas maliciosas y mantener el control durante largos periodos sin ser detectados”, agregó Assolini.
Además del impacto técnico, las consecuencias pueden ser operativas, financieras y reputacionales.
La pérdida de datos sensibles, la paralización de servicios o el uso de servidores comprometidos como punto de partida para atacar a socios o clientes puede dañar gravemente la confianza en las organizaciones.
Recomendaciones de seguridad
Para reducir el riesgo de ataques dirigidos, los expertos de Kaspersky recomiendan:
- Refuerce la protección de servidores y redes internas: Mantenga los sistemas actualizados, limite el acceso a servicios expuestos a Internet y aplique políticas estrictas de contraseñas y autenticación.
- Fomente la colaboración entre áreas técnicas y de gestión: La seguridad debe ser una responsabilidad transversal dentro de la organización.
- Promueva la formación y la conciencia en seguridad: Capacitar a los empleados para reconocer intentos de phishing o ingeniería social es clave para prevenir intrusiones.
- Incorpore inteligencia de amenazas: Contar con información actualizada sobre actores, tácticas y herramientas permite anticipar y responder de manera más eficaz a los incidentes.
La Inteligencia de Amenazas de Kaspersky reúne conocimiento global y análisis especializados que ayudan a los equipos de seguridad a priorizar riesgos, detectar comportamientos sospechosos y fortalecer sus defensas antes de que se produzca un incidente.
