El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificó una campaña de ciberespionaje en curso, denominada PassiveNeuron, que tiene como objetivo a organizaciones gubernamentales, financieras e industriales de América Latina, además de otras ubicadas en Asia y África. La actividad maliciosa, observada por primera vez en diciembre de 2024 y que se mantenía activa hasta agosto de 2025, demuestra un interés sostenido de los atacantes en comprometer infraestructuras críticas de la región.
Tras un período de seis meses de inactividad, PassiveNeuron ha retomado sus operaciones con fuerza, empleando tres herramientas principales, dos de ellas previamente desconocidas, para infiltrarse y mantener acceso persistente en las redes comprometidas.
Estas herramientas son:
- Neursite, una puerta trasera modular.
- NeuralExecutor, un implante basado en .NET.
- Cobalt Strike, un marco de pruebas de penetración utilizado con frecuencia por actores de amenazas.
La herramienta Neursite actúa como una puerta trasera que permite a los atacantes obtener información sobre los sistemas afectados y moverse dentro de las redes comprometidas, aprovechando los equipos infectados para acceder a otros recursos críticos. En algunos casos, los investigadores detectaron que esta herramienta se comunicaba tanto con servidores externos controlados por los atacantes como con otros sistemas internos comprometidos.
Por su parte, NeuralExecutor funciona como un componente que descarga y ejecuta instrucciones o archivos adicionales enviados de manera remota por los atacantes. Esta capacidad le permite ampliar sus funciones y adaptarse a distintos entornos, lo que aumenta su eficacia para mantener el control sobre los sistemas infectados.
“PassiveNeuron destaca por su enfoque en comprometer servidores, que a menudo son la columna vertebral de las redes organizacionales”, asegura Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky. “Los servidores expuestos a Internet son objetivos especialmente atractivos para los grupos de amenazas persistentes avanzadas (APT), ya que un solo host comprometido puede otorgar acceso a sistemas críticos. Por ello, es esencial minimizar la superficie de ataque relacionada con ellos y monitorear continuamente las aplicaciones de servidor para detectar y detener posibles infecciones”.
En el análisis realizado por el equipo de GReAT, los investigadores detectaron que algunas partes del código contenían nombres de funciones escritos con caracteres cirílicos, aparentemente introducidos de forma intencional por los atacantes. Este tipo de elementos, conocidos como falsas banderas o false flag, pueden utilizarse para confundir a los analistas y desviar la atribución del ataque hacia otros grupos o regiones.
A partir de las tácticas y técnicas observadas, Kaspersky considera con bajo nivel de confianza que la operación podría estar vinculada a un actor de amenazas de habla china. La compañía ya había identificado actividad de PassiveNeuron a comienzos de 2024, describiendo la campaña como altamente sofisticada y orientada a eludir la detección.
Este tipo de ataques representa un riesgo significativo para las organizaciones, ya que los servidores comprometidos pueden ser utilizados para acceder a información confidencial, alterar procesos internos o interrumpir operaciones críticas. “Al tratarse de equipos que suelen actuar como núcleo de las infraestructuras corporativas, un compromiso en estos sistemas puede abrir la puerta a una infiltración profunda y sostenida dentro de la red, permitiendo a los atacantes moverse lateralmente, instalar nuevas herramientas maliciosas y mantener el control durante largos periodos sin ser detectados”, agrega Assolini.
Además del impacto técnico, las consecuencias para las empresas pueden ser operativas, financieras y reputacionales. La pérdida de datos sensibles, la paralización de servicios o el uso de los servidores comprometidos como punto de partida para atacar a socios o clientes puede generar daños de gran alcance y poner en riesgo la confianza en la organización.
Para evitar este tipo de ataques dirigidos, los expertos de Kaspersky recomiendan.
- Refuerce la protección de los servidores y redes internas. Mantener los sistemas actualizados, limitar el acceso a los servicios expuestos a Internet y aplicar políticas estrictas de contraseñas y autenticación puede reducir significativamente las oportunidades de ataque.
- Fomente la colaboración entre las áreas técnicas y de gestión. La seguridad no debe limitarse al departamento de TI: toda la organización debe conocer los protocolos básicos para reportar y actuar frente a posibles amenazas.
- Promueva la formación y la conciencia en seguridad. Muchos incidentes comienzan con un simple correo de phishing o una técnica de ingeniería social. Capacitar a los empleados para reconocer mensajes sospechosos, enlaces falsos o archivos adjuntos maliciosos es una de las medidas más efectivas para evitar intrusiones.
- Incorpore inteligencia de amenazas para mejorar la toma de decisiones en seguridad. Contar con información verificada sobre los actores, tácticas y herramientas que se usan en ataques reales permite a las organizaciones anticiparse y responder con mayor precisión. La Inteligencia de Amenazas de Kaspersky reúne conocimiento global y análisis expertos que ayudan a los equipos de seguridad a priorizar riesgos, detectar comportamientos sospechosos y fortalecer sus defensas antes de que se produzca un incidente.
Más información está disponible en el informe de Securelist.com.
