Una campaña de ciberespionaje contra organizaciones gubernamentales, financieras e industriales de Latinoamérica fue descubierta por el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.
La campaña, denominada PassiveNeuron y que también afecta a entidades de Asia y África, fue observada por primera vez en diciembre de 2024 y se mantenía activa hasta agosto de 2025, con un sostenido interés en comprometer infraestructuras críticas de la región.
Luego de seis meses de inactividad, PassiveNeuron ha retomado con fuerza sus operaciones, utilizando principalmente tres herramientas, dos de ellas previamente desconocidas, para infiltrarse y mantener acceso persistente en las redes comprometidas.
Estas herramientas son Neursite, una puerta trasera modular; NeuralExecutor, un implante basado en .NET; y Cobalt Strike, un marco de pruebas de penetración empleado frecuentemente por ciberatacantes.
Neursite opera como una puerta trasera mediante la cual los atacantes obtienen datos sobre los sistemas afectados y se mueven dentro de las redes comprometidas, aprovechando los equipos infectados para acceder a otros recursos críticos. Los investigadores detectaron que en algunos casos esta herramienta se comunicaba tanto con servidores externos controlados por los atacantes como con otros sistemas internos comprometidos.
NeuralExecutor, por su parte, es un componente que descarga y ejecuta instrucciones o archivos adicionales enviados remotamente por los atacantes, lo que le permite expandir sus funciones y adaptarse a distintos entornos, incrementando así su eficacia para mantener el control sobre los sistemas infectados.
“PassiveNeuron destaca por su enfoque en comprometer servidores, que a menudo son la columna vertebral de las redes organizacionales. Los servidores expuestos a Internet son objetivos especialmente atractivos para los grupos de amenazas persistentes avanzadas (APT), ya que un solo host comprometido puede otorgar acceso a sistemas críticos. Por ello, es esencial minimizar la superficie de ataque relacionada con ellos y monitorear continuamente las aplicaciones de servidor para detectar y detener posibles infecciones”, indica Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
El equipo de GReAT detectó que ciertas partes del código contenían nombres de funciones escritos con caracteres cirílicos, aparentemente introducidos intencionalmente por los atacantes. Este tipo de elementos, conocidos como falsas banderas o false flag, se usan para confundir a los analistas y que atribuyan el ataque a otros grupos o regiones.
Según las tácticas y técnicas observadas, Kaspersky considera con bajo nivel de confianza que la campaña de ciberespionaje podría relacionarse con un actor de amenazas de habla china. La compañía había identificado previamente actividad de PassiveNeuron, a comienzos del año pasado, describiendo la operación como altamente sofisticada y destinada a evadir la detección.
Esta modalidad de ataques representa un serio riesgo para las organizaciones, pues los servidores comprometidos pueden emplearse para acceder a información confidencial, modificar procesos internos o interrumpir operaciones críticas. “Al tratarse de equipos que suelen actuar como núcleo de las infraestructuras corporativas, un compromiso en estos sistemas puede abrir la puerta a una infiltración profunda y sostenida dentro de la red, permitiendo a los atacantes moverse lateralmente, instalar nuevas herramientas maliciosas y mantener el control durante largos periodos sin ser detectados”, destaca Assolini.
Junto con el impacto técnico, las consecuencias para las empresas pueden ser operativas, financieras y reputacionales. La pérdida de datos sensibles, la interrupción de servicios o el uso de los servidores comprometidos como entrada para atacar a socios o clientes puede provocar importantes daños y poner en riesgo la confianza en la organización.
A modo de prevención contra este tipo de ataques dirigidos de ciberespionaje, los expertos de Kaspersky recomiendan:
• Potencie la protección de los servidores y redes internas. Mantener los sistemas actualizados, limitar el acceso a los servicios expuestos a Internet y aplicar políticas estrictas de contraseñas y autenticación puede reducir significativamente las oportunidades de ataque.
• Anime la colaboración entre las áreas técnicas y de gestión. La seguridad no debe limitarse al departamento de TI: toda la organización debe conocer los protocolos básicos para reportar y actuar frente a posibles amenazas.
• Difunda la formación y la conciencia en seguridad. Muchos incidentes comienzan con un simple correo de phishing o una técnica de ingeniería social. Capacitar a los empleados para reconocer mensajes sospechosos, enlaces falsos o archivos adjuntos maliciosos es una de las medidas más efectivas para evitar intrusiones.
• Integre inteligencia de amenazas para optimizar la toma de decisiones en seguridad. Disponer de información verificada sobre los actores, tácticas y herramientas que se usan en ataques reales permite a las organizaciones anticiparse y responder con mayor precisión. La Inteligencia de Amenazas de Kaspersky reúne conocimiento global y análisis expertos que ayudan a los equipos de seguridad a priorizar riesgos, detectar comportamientos sospechosos y potenciar sus defensas antes de que se produzca un incidente.
