Uno de los grupos de ciberespionaje más conocidos del mundo volvió a aparecer con nuevas herramientas. Investigadores de ESET detectaron que el grupo Sednit retomó operaciones avanzadas desde 2024, utilizando malware actualizado para infiltrarse y vigilar objetivos durante largos periodos.
Este grupo, también conocido como APT28, Fancy Bear o Sofacy, lleva más de dos décadas activo y ha sido vinculado a operaciones de espionaje digital de alto perfil en todo el mundo.
Un regreso con herramientas nuevas
El análisis reciente muestra que Sednit volvió con un conjunto renovado de malware diseñado para mantenerse dentro de los sistemas sin ser detectado.
Entre las herramientas identificadas destacan:
- SlimAgent: un programa espía que registra lo que escribe el usuario en el teclado, captura pantallas y recopila información del sistema.
- BeardShell: permite ejecutar comandos en el equipo comprometido utilizando servicios de almacenamiento en la nube como canal de comunicación.
- Covenant: un framework modificado por el grupo para controlar dispositivos infectados y extraer información de forma remota.
Estas herramientas se utilizan juntas para mantener acceso persistente a los sistemas atacados, incluso si una de ellas es detectada o bloqueada.
Un grupo con larga trayectoria
Sednit es uno de los grupos de amenazas persistentes avanzadas (APT) más conocidos del ecosistema de ciberseguridad. Su actividad se remonta al menos a 2004 y ha sido vinculada a varios ataques importantes.
Entre los incidentes más conocidos se encuentran el ataque al Democratic National Committee durante las elecciones de Estados Unidos en 2016 y operaciones contra instituciones gubernamentales en Europa.
Según investigaciones del United States Department of Justice, el grupo estaría relacionado con la unidad de inteligencia militar rusa GRU Unit 26165.
Espionaje digital a largo plazo
Lo que distingue esta nueva etapa de Sednit es su enfoque en el espionaje prolongado. Las herramientas detectadas están diseñadas para permanecer activas durante meses dentro de los sistemas comprometidos.
Además, el grupo está aprovechando servicios legítimos de almacenamiento en la nube para comunicarse con los equipos infectados. Esto dificulta la detección, ya que el tráfico parece normal dentro de la red.
Qué significa esto para la ciberseguridad
El regreso de Sednit demuestra que incluso los grupos de amenazas más antiguos siguen evolucionando y adaptando sus técnicas.
Para organizaciones y usuarios, la principal lección es clara:
- Mantener sistemas actualizados.
- Implementar monitoreo de seguridad constante.
- Detectar comportamientos anómalos en la red.
Cuando el espionaje digital se vuelve cada vez más sofisticado, la prevención y la vigilancia continua siguen siendo las mejores herramientas para proteger la información. En Lockbits somos tu aliado en ciberseguridad, comencemos a trabajar juntos: https://lockbits.cl/contacto/
- Share:
