Investigadores han publicado un análisis técnico de la actividad de 14 grupos maliciosos que concentran sus ataques contra organizaciones en Rusia, Bielorrusia y varios países limítrofes. El estudio destaca que el hacktivismo surgido tras 2022, con colectivos que se autodefinen como «proucranianos», constituye una parte sustancial del panorama. Para ordenar el riesgo y describir de forma operacional sus tácticas, técnicas y procedimientos (TTP), los expertos agrupan a los actores en tres clústeres según motivación y arsenal.
Panorama de amenazas: tres clústeres por motivación y herramientas
Desde 2022, el número de grupos que atacan a entidades rusas ha crecido con fuerza, impulsado por coaliciones hacktivistas. La investigación identifica un patrón de coordinación entre actores, intercambio de conocimientos y búsqueda de visibilidad pública. Los autores distinguen tres clústeres: 1) ideológico, orientado al impacto reputacional y la interrupción de servicios; 2) pragmático, con fines operativos o económicos (extorsión, filtración selectiva, daño operacional); y 3) mixto, que combina motivaciones y comparte herramientas a través de ecosistemas y canales comunes.
Tendencias 2022–2025: más coordinación y madurez técnica
Intercambio de herramientas y reparto de roles
La mayoría de los colectivos observados comparten frameworks, módulos y accesos, y se reparten funciones en la cadena de ataque: desde el acceso inicial hasta la persistencia y la fase de impacto. Este modelo acelera campañas, permite reutilizar TTP probadas y estandariza cargas maliciosas, exploits y RAT empleados. Estas conclusiones coinciden con informes globales como ENISA Threat Landscape y Verizon DBIR, que señalan la consolidación de tooling común y el peso de credenciales comprometidas y superficies remotas.
Prácticas de Red Team aplicadas en ataques reales
Los analistas detectan un salto de sofisticación técnica: técnicas propias de Red Team pasan a producción, con énfasis en living-off-the-land, persistencia avanzada, movimiento lateral sigiloso, y el uso combinado de herramientas administrativas legítimas con loaders personalizados. Este avance sugiere una adopción rápida de técnicas publicadas en la comunidad de seguridad y su adaptación a objetivos específicos. Tendencias recogidas por Mandiant M-Trends (mayor uso de herramientas nativas y reducción del tiempo de detección) refuerzan este diagnóstico.
Objetivos preferentes: sector público, industria y telecomunicaciones
Si bien las campañas afectan a múltiples verticales, gobierno, industria y telecom se mantienen de forma consistente entre los principales blancos. El tamaño de la organización no es determinante: lo crítico es el valor de los datos, el control de infraestructura o el impacto potencial en la cadena de suministro. En 2025 se observa una nueva oleada de al menos siete grupos que reivindican públicamente operaciones contra entidades rusas, ampliando la presión sobre equipos de seguridad.
Contexto de riesgo: Rusia entre los países más atacados
Desde 2022, Rusia figura entre las jurisdicciones con mayor volumen de actividad hostil. El hacktivismo se perfila como vector principal por su número y preparación técnica. Un riesgo añadido es la difusión acelerada de técnicas: las TTP efectivas se copian y remezclan con rapidez, elevando la frecuencia de incidentes repetitivos y la carga operacional en SOC y equipos de respuesta.
Recomendaciones prioritarias para CISO y SOC
Ante este panorama, conviene actualizar el modelo de amenazas y alinear controles por clúster y TTP. Medidas clave: 1) control del acceso inicial con MFA resistente al phishing, endurecimiento y supervisión de VPN/RDP y reducción del exposure externo; 2) segmentación y principio de least privilege; 3) EDR/XDR con telemetría enriquecida y correlación en SIEM; 4) Threat Intelligence accionable enfocada en clústeres y TTP (mapa MITRE ATT&CK, IOCs y TTPs compartidos); 5) respuesta a incidentes con ejercicios de tabletop, copias de seguridad verificadas e inmutables y planes de recuperación probados. Complemente con parches priorizados en perímetros, listas de bloqueo/permitidos, control de scripts y búsqueda proactiva (threat hunting).
Según el equipo de investigación, desde 2022 los ataques muestran un carácter sistémico y el hacktivismo es un impulsor dominante del riesgo. La acción recomendada es pragmática: revisar la matriz de amenazas, mapearla a procesos críticos y cerrar “victorias rápidas” (MFA, segmentación, visibilidad y respuesta). Implementar estos fundamentos de ciberresiliencia reducirá el impacto del arsenal en expansión de hacktivistas y otros actores. Ahora es el momento de evaluar la exposición externa, validar controles y entrenar a los equipos: cada mejora tangible acorta la ventana de oportunidad del adversario.
