Una campaña de ciberespionaje altamente sofisticada, denominada PassiveNeuron, ha estado atacando a organizaciones gubernamentales, financieras e industriales en América Latina, así como en otras regiones de Asia y África. Según el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky, esta operación maliciosa, que se detectó por primera vez en diciembre de 2024 y permaneció activa hasta agosto de 2025, demuestra un interés sostenido de los atacantes en comprometer infraestructuras críticas de la región.
Tras un período de seis meses de inactividad, PassiveNeuron ha retomado sus operaciones con fuerza, empleando tres herramientas principales, dos de ellas previamente desconocidas, para infiltrarse y mantener un acceso persistente en las redes comprometidas. Estas herramientas son:
- Neursite, una puerta trasera modular que permite a los atacantes obtener información sobre los sistemas afectados y moverse dentro de las redes comprometidas.
- NeuralExecutor, un implante basado en .NET que funciona como un componente que descarga y ejecuta instrucciones o archivos adicionales enviados de manera remota por los atacantes.
- Cobalt Strike, un marco de pruebas de penetración utilizado con frecuencia por actores de amenazas.
«PassiveNeuron destaca por su enfoque en comprometer servidores, que a menudo son la columna vertebral de las redes organizacionales», afirma Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky. «Los servidores expuestos a Internet son objetivos especialmente atractivos para los grupos de amenazas persistentes avanzadas (APT), ya que un solo host comprometido puede otorgar acceso a sistemas críticos».
Según el análisis de Kaspersky, algunas partes del código de PassiveNeuron contenían nombres de funciones escritos con caracteres cirílicos, lo que podría ser una falsa bandera (false flag) utilizada por los atacantes para confundir a los analistas y desviar la atribución del ataque hacia otros grupos o regiones. Sin embargo, con un bajo nivel de confianza, la compañía considera que la operación podría estar vinculada a un actor de amenazas de habla china.
Protegiendo Infraestructuras Críticas
Este tipo de ataques representa un riesgo significativo para las organizaciones, ya que los servidores comprometidos pueden ser utilizados para acceder a información confidencial, alterar procesos internos o interrumpir operaciones críticas. «Al tratarse de equipos que suelen actuar como núcleo de las infraestructuras corporativas, un compromiso en estos sistemas puede abrir la puerta a una infiltración profunda y sostenida dentro de la red, permitiendo a los atacantes moverse lateralmente, instalar nuevas herramientas maliciosas y mantener el control durante largos periodos sin ser detectados», agrega Assolini.
Para evitar este tipo de ataques dirigidos, los expertos de Kaspersky recomiendan:
- Reforzar la protección de los servidores y redes internas, manteniendo los sistemas actualizados, limitando el acceso a los servicios expuestos a Internet y aplicando políticas estrictas de contraseñas y autenticación.
- Fomentar la colaboración entre las áreas técnicas y de gestión, ya que la seguridad no debe limitarse al departamento de TI.
- Promover la formación y la conciencia en seguridad, capacitando a los empleados para reconocer mensajes sospechosos, enlaces falsos o archivos adjuntos maliciosos.
- Incorporar inteligencia de amenazas para mejorar la toma de decisiones en seguridad, anticipándose a los ataques y respondiendo con mayor precisión.
Más información sobre esta campaña de ciberespionaje está disponible en el informe de Securelist.com.
