Kaspersky, a través de su equipo GReAT, ha identificado la reactivación de una sofisticada campaña de ciberespionaje llamada PassiveNeuron.

Este actor de amenaza ha estado activo desde finales de 2024, con un reciente resurgimiento tras seis meses de pausa. Los principales objetivos son las redes corporativas y gubernamentales, con un enfoque particular en América Latina.

La estrategia de PassiveNeuron se centra en comprometer servidores Windows esenciales, la columna vertebral de las redes. Para esto, el grupo utiliza un arsenal de tres herramientas, incluyendo dos nuevas: Neursite, una puerta trasera modular que facilita el movimiento lateral y la extracción de información; NeuralExecutor, un implante basado en .NET que descarga y ejecuta comandos remotos; y el conocido marco Cobalt Strike.

Fabio Assolini de Kaspersky enfatiza que los servidores expuestos a Internet son blancos de alto valor para grupos APT, ya que comprometer uno puede otorgar acceso a toda la infraestructura crítica. El análisis del código reveló "falsas banderas" (nombres de funciones en cirílico) que buscan desviar la atribución, aunque Kaspersky vincula el ataque con un bajo nivel de confianza a un actor de habla china.

Este tipo de intrusión representa un riesgo significativo, permitiendo a los atacantes acceder a datos confidenciales, interrumpir operaciones y usar los sistemas comprometidos para atacar a terceros. Kaspersky recomienda reforzar la protección de servidores, fomentar la concienciación en seguridad, actualizar sistemas y aplicar Inteligencia de Amenazas para una defensa proactiva.