Viernes, 7 de noviembre de 2025 – 19:27 WIB
Jacarta – El Equipo de Análisis e Investigación Global (GReAT) de Kaspersky descubrió una campaña de ciberespionaje PassiveNeuron en curso dirigida a sistemas Windows Server de instituciones gubernamentales, financieras e industriales en Asia, África y América Latina.
Lea también:
macOS y Windows bajo amenaza
Esta actividad se observó desde diciembre de 2024 y continuó hasta agosto de 2025. Después de seis meses de inactividad, PassiveNeuron volvió al servicio, utilizando tres herramientas clave, dos de las cuales eran previamente desconocidas, para obtener y mantener el acceso a redes específicas.
Estas herramientas incluyen:
Lea también:
Dante encontrado vagando después de años sin ser visto
• Neurite, una puerta trasera modular;
• NeuralExecutor, un implante basado en .NET;
• Cobalt Strike, un marco de pruebas de penetración utilizado frecuentemente por actores maliciosos.
La puerta trasera de Neurite puede recopilar información del sistema, gestionar procesos en ejecución y enrutar el tráfico de la red a través de hosts comprometidos, permitiendo el movimiento lateral dentro de la red.
Lea también:
Prabowo: los beneficiarios del programa MBG alcanzan los 35,4 millones, siete veces la población de Singapur
Se descubrió que las muestras se comunicaban con servidores externos de comando y control, así como con sistemas internos comprometidos.
NeuralExecutor está diseñado para proporcionar cargas útiles adicionales. El implante admite múltiples métodos de comunicación y puede cargar y ejecutar ensamblados .NET recibidos desde su servidor de comando y control.
«PassiveNeuron se destaca por su enfoque en servidores comprometidos, que a menudo forman la columna vertebral de la red de una organización. Los servidores expuestos a Internet son objetivos particularmente atractivos para los grupos de amenazas persistentes avanzadas (APT), porque un único host comprometido puede proporcionar acceso a sistemas críticos», dijo Georgy Kucherin, investigador de seguridad GReAT en Kaspersky.
Por lo tanto, es importante minimizar la superficie de ataque asociada y monitorear continuamente las aplicaciones del servidor para detectar y detener posibles infecciones.
En las muestras observadas por los expertos GReAT de Kaspersky, los nombres de las funciones fueron reemplazados por cadenas que contienen caracteres cirílicos, que parecen haber sido introducidos intencionalmente por los atacantes.
Estos artefactos requieren una evaluación cuidadosa durante la atribución, ya que pueden servir como señales falsas destinadas a engañar a los analistas.
Con base en las tácticas, técnicas y procedimientos observados, Kaspersky cree con poca confianza que la campaña probablemente esté asociada con un actor de amenazas de habla china.
Página siguiente
A principios de 2024, los investigadores de Kaspersky detectaron actividad de PassiveNeuron y describieron la campaña como una demostración de un alto nivel de sofisticación.
