Descubren grupo de hackers sofisticados vigilando entidades desde adentro

Investigadores de Kaspersky sacaron a la luz una operación de espionaje digital de envergadura. El grupo conocido como HoneyMyte ha estado refinando sus técnicas de infiltración para vigilar y robar información dentro de redes corporativas, principalmente en entidades gubernamentales y organizaciones consideradas estratégicas. Lo preocupante es que lo hacen casi sin dejar rastro.

El corazón de estas operaciones maliciosas es una herramienta llamada CoolClient, que el grupo ha fortalecido considerablemente. Según el Equipo Global de Investigación y Análisis de Kaspersky, GReAT, esta herramienta ahora tiene capacidades mucho más avanzadas. De acuerdo con los investigadores, entre las mejoras más relevantes se incluyen "capacidades de monitoreo del portapapeles y seguimiento de las aplicaciones en uso". Esto permite que los atacantes vean exactamente qué está haciendo un usuario: qué ventanas tiene abiertas, qué programas usa y a qué hora, reconstruyendo minuciosamente cómo maneja información sensible en su equipo.

Una de las tácticas más peligrosas que detectaron es que CoolClient ahora roba credenciales de proxies de red (los sistemas que controlan el acceso a internet en empresas). Esta es una técnica nueva para HoneyMyte y les permite moverse por las redes corporativas sin ser detectados, como si tuvieran las llaves maestras del edificio.

Usan herramientas legales para pasar desapercibidos

Lo ingenioso de estos atacantes es cómo evitan ser descubiertos. CoolClient generalmente se instala acompañado de otros malwares conocidos como PlugX y LuminousMoth, pero lo hacen usando un truco que confunde los sistemas de seguridad: aprovechan programas legítimos que tienen firmas digitales válidas. "Entre 2021 y 2025, HoneyMyte abusó de programas auténticos de distintos fabricantes, y en las campañas más recientes utilizó una aplicación firmada de un proveedor de software empresarial", explican los investigadores.

Una vez adentro de los sistemas, emplean scripts automatizados para recopilar información del sistema, extraer documentos internos y robar contraseñas almacenadas en navegadores. Incluso desarrollaron una versión de malware diseñada específicamente para robar credenciales de Chrome. Es como si dejaran una red invisible recogiendo información mientras nadie se percata de su presencia.