Los investigadores de Positive Technologies han documentado una campaña de ciberespionaje sin precedentes ejecutada por el grupo APT PhantomCore entre mayo y julio de 2025. Esta operación de alto nivel resultó en la compromisión de más de 180 sistemas pertenecientes a organizaciones estratégicas de la infraestructura crítica rusa, estableciendo un nuevo estándar en términos de alcance y sofisticación de amenazas persistentes avanzadas.
Sectores Objetivo y Alcance de la Operación
La selección de objetivos por parte de PhantomCore revela una estrategia meticulosamente planificada enfocada en sectores de importancia nacional. Las víctimas identificadas incluyen instituciones gubernamentales, centros de investigación científica, empresas del complejo militar-industrial y la industria naval. Adicionalmente, los atacantes dirigieron sus esfuerzos hacia compañías de los sectores químico, minero, manufacturero y tecnológico.
El análisis temporal de la campaña demuestra una ejecución altamente estructurada. La primera infiltración documentada ocurrió el 12 de mayo de 2025, con un incremento progresivo de actividad durante junio. Particularmente significativo resulta el 30 de junio, fecha que concentra el 56% de todas las infecciones detectadas, sugiriendo una coordinación deliberada para maximizar el impacto.
Metodología y Persistencia de los Atacantes
La investigación revela un nivel excepcional de paciencia y preparación por parte de los operadores de PhantomCore. El grupo mantuvo presencia en las redes comprometidas durante un promedio de 24 días, con casos extremos que alcanzaron los 78 días de permanencia. Esta estrategia de «living off the land» permitió a los atacantes realizar reconocimiento exhaustivo y extraer información clasificada de manera sigilosa.
Un aspecto particularmente preocupante es que 49 sistemas permanecen bajo control de los atacantes al momento de la publicación del informe, indicando que la amenaza continúa activa y representa un riesgo inmediato para las organizaciones afectadas.
Arsenal Técnico y Herramientas Utilizadas
PhantomCore demuestra una sofisticación técnica notable mediante el empleo de un arsenal diversificado que combina herramientas de código abierto modificadas, utilidades comerciales alteradas y desarrollos propietarios únicos. Esta aproximación híbrida permite al grupo evadir sistemas de detección tradicionales y mantener persistencia prolongada en entornos corporativos.
La infraestructura operacional del grupo exhibe segmentación funcional estricta, con diferentes componentes especializados para tipos específicos de malware y funcionalidades de comando y control. Esta arquitectura refleja un enfoque empresarial hacia las operaciones cibercriminales.
Distribución Geográfica de la Infraestructura Maliciosa
El análisis de la infraestructura de comando y control revela una distribución geográfica intrigante: 48% de los servidores están ubicados en territorio ruso, concentrados principalmente en las redes de tres proveedores de servicios de internet nacionales. El 52% restante se distribuye entre múltiples jurisdicciones internacionales, incluyendo Finlandia, Francia, Países Bajos, Estados Unidos, Alemania, Hong Kong, Moldavia y Polonia.
Resulta especialmente notable que 33% de toda la infraestructura se concentra en las redes de un único proveedor canadiense, sugiriendo preferencias específicas en la selección de servicios de hosting para operaciones críticas.
Evolución Táctica y Nuevas Amenazas Emergentes
Según el análisis de Viktor Kazakov, especialista principal del grupo de inteligencia cibernética PT ESC TI, el incremento de actividad durante el período estudiado correlaciona con la evolución del arsenal malicioso de PhantomCore. Los indicadores sugieren que los atacantes invirtieron los meses previos a abril en el desarrollo y perfeccionamiento de nuevas capacidades ofensivas.
Los investigadores han identificado la emergencia de una facción derivada menos experimentada dentro de la organización PhantomCore. Este subgrupo, posiblemente establecido por un miembro de la célula principal, representa un esfuerzo de expansión destinado a amplificar el alcance operacional y multiplicar las superficies de ataque disponibles.
La detección temprana y notificación oportuna por parte de los expertos de Positive Technologies resultó fundamental para mitigar las consecuencias más severas de esta campaña. Este incidente subraya la importancia crítica del monitoreo continuo de amenazas y la implementación de medidas de seguridad robustas en infraestructuras estratégicas. Las organizaciones deben priorizar auditorías de seguridad regulares, actualizaciones sistemáticas de sistemas defensivos y programas de capacitación en higiene cibernética para reducir significativamente la exposición a amenazas de esta magnitud.
