Las campañas de ciberespionaje no cesan. Según el último informe de actividad APT de ESET, correspondiente al periodo entre octubre de 2024 y marzo de 2025, los grupos alineados con potencias como China, Rusia, Irán y Corea del Norte han intensificado sus operaciones, especialmente contra objetivos europeos. Gobiernos, infraestructuras críticas, empresas del sector tecnológico y entidades del transporte han sido blanco de ataques persistentes, cada vez más sofisticados y en muchos casos motivados por intereses geopolíticos.
China sigue centrando sus esfuerzos en Europa, con Mustang Panda a la cabeza. Este grupo continúa explotando dispositivos USB infectados y variantes del loader Korplug para infiltrar gobiernos y empresas logísticas. Otros actores, como PerplexedGoblin o DigitalRecyclers, han desplegado nuevas puertas traseras —como NanoSlate— y empleado redes de anonimización como KMA VPN para eludir detecciones. Incluso se ha observado actividad de un clúster de ShadowPad con capacidad de ransomware, aunque su motivación principal sigue siendo el espionaje.
Irán también ha sido protagonista, con campañas como la de MuddyWater, que recurrió al uso de software RMM legítimo para infiltrarse en organizaciones gubernamentales y del sector manufacturero, principalmente en Israel. De hecho, uno de los ataques terminó en una operación conjunta con Lyceum, otra célula iraní. Además, el grupo CyberToufan ejecutó un ataque destructivo masivo en enero, lanzando un wiper contra medio centenar de organizaciones israelíes.
Corea del Norte, por su parte, ha reforzado su ofensiva económica. El grupo TraderTraitor fue responsable del robo de 1.500 millones de dólares en criptomonedas tras comprometer la cadena de suministro de Safe{Wallet}. Otros grupos norcoreanos siguen utilizando ofertas de trabajo falsas, plataformas de videollamadas y GitHub para engañar a desarrolladores y robar credenciales o instalar malware como WeaselStore, una nueva herramienta multiplataforma diseñada para el robo de información.
Rusia mantiene su ofensiva contra Ucrania y aliados europeos. Sednit explotó vulnerabilidades XSS en servicios de correo como Roundcube, Horde o Zimbra, mientras que RomCom desplegó dos zero-days en Firefox y Windows. Gamaredon, el grupo más activo en Ucrania, introdujo nuevos métodos de ocultación y un malware llamado PteroBox para robar archivos a través de Dropbox. Por su parte, Sandworm intensificó sus sabotajes en el sector energético ucraniano con el wiper ZEROLOT, que borra archivos masivamente mediante directivas de Active Directory.
El informe también destaca otras campañas dirigidas, como una ofensiva de phishing que usó la imagen del Foro Económico Mundial para engañar a diplomáticos ucranianos, o el rastreo de APT-C-60 en Japón, vinculado a objetivos con posibles conexiones norcoreanas. Stealth Falcon, otro actor poco conocido, desplegó herramientas de robo de datos en Turquía y Pakistán.
El pulso entre ciberpotencias se libra en la sombra, pero sus efectos se dejan sentir cada vez más en el ámbito institucional, económico y social. Un recordatorio más de que la ciberseguridad es hoy, más que nunca, una cuestión estratégica.
