{"id":171892,"date":"2026-02-05T03:00:15","date_gmt":"2026-02-05T11:00:15","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=171892"},"modified":"2026-02-06T06:15:20","modified_gmt":"2026-02-06T14:15:20","slug":"shadow-campaigns-uncovering-global-espionage","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/","title":{"rendered":"Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global"},"content":{"rendered":"<h2><a id=\"post-171892-_v0rbg5ovhgc1\"><\/a>Resumen ejecutivo<\/h2>\n<p>Esta investigaci\u00f3n revela un nuevo grupo de ciberespionaje que Unit 42 rastrea como TGR-STA-1030. Nos referimos a la actividad del grupo como las \"Campa\u00f1as de la Sombra\" (<em>Shadow Campaigns<\/em>). Evaluamos con alta confianza que TGR-STA-1030 es un grupo alineado con un estado que opera desde Asia. Durante el \u00faltimo a\u00f1o, este grupo ha comprometido a organizaciones gubernamentales y de infraestructura cr\u00edtica en 37 pa\u00edses. Esto significa que aproximadamente uno de cada cinco pa\u00edses ha experimentado una brecha cr\u00edtica por parte de este grupo en el \u00faltimo a\u00f1o. Adem\u00e1s, entre noviembre y diciembre de 2025, observamos al grupo realizando reconocimiento activo contra infraestructura gubernamental asociada a 155 pa\u00edses.<\/p>\n<p>Este grupo ataca principalmente a ministerios y departamentos gubernamentales. Por ejemplo, el grupo ha comprometido con \u00e9xito:<\/p>\n<ul>\n<li>Cinco entidades de control fronterizo\/fuerzas del orden a nivel nacional<\/li>\n<li>Tres ministerios de finanzas y varios otros ministerios gubernamentales<\/li>\n<li>Departamentos a nivel mundial que se alinean con funciones econ\u00f3micas, comerciales, de recursos naturales y diplom\u00e1ticas<\/li>\n<\/ul>\n<p>Dada la escala del compromiso y la importancia de estas organizaciones, hemos notificado a las entidades afectadas y les hemos ofrecido asistencia a trav\u00e9s de protocolos de divulgaci\u00f3n responsable.<\/p>\n<p>Aqu\u00ed describimos la sofisticaci\u00f3n t\u00e9cnica de los actores, incluidas las t\u00e9cnicas de phishing y explotaci\u00f3n, las herramientas y la infraestructura utilizadas por el grupo. Proporcionamos indicadores defensivos que incluyen infraestructura activa en el momento de esta publicaci\u00f3n. Adem\u00e1s, exploramos en profundidad la victimolog\u00eda por regi\u00f3n con la intenci\u00f3n de demostrar las supuestas motivaciones del grupo. Los resultados indican que este grupo prioriza sus esfuerzos contra pa\u00edses que han establecido o est\u00e1n explorando ciertas asociaciones econ\u00f3micas.<\/p>\n<p>Adicionalmente, hemos compartido previamente estos indicadores con colegas de la industria para asegurar defensas robustas en todo el sector contra este actor de amenazas.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra las amenazas descritas en este art\u00edculo a trav\u00e9s de productos y servicios, que incluyen:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\"><strong>Cortex XDR<\/strong><\/span><\/a><span style=\"font-weight: 400;\"> y <\/span><strong><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/strong><\/li>\n<\/ul>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, contacte al<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de Unit 42<\/a>.<\/p>\n<table style=\"width: 98.8066%;\">\n<thead>\n<tr>\n<td style=\"width: 40.7643%;\"><b>Temas relacionados de Unit 42<\/b><\/td>\n<td style=\"width: 113.567%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/asia\/\" target=\"_blank\" rel=\"noopener\"><b>Asia<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/phishing-es-la\/\" target=\"_blank\" rel=\"noopener\">Phishing<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-171892-_6xd6uzibd2qt\"><\/a>Introducci\u00f3n al actor<\/h2>\n<p>Unit 42 identific\u00f3 por primera vez a TGR-STA-1030 (tambi\u00e9n conocido como UNC6619) al investigar un cl\u00faster de campa\u00f1as de phishing maliciosas (referidas aqu\u00ed como las \"Campa\u00f1as de la Sombra\") dirigidas a gobiernos europeos a principios de 2025. Usamos el prefijo<a href=\"https:\/\/www.google.com\/search?q=https:\/\/unit42.paloaltonetworks.com\/unit-42-attribution-framework\/%23section2SubHeading2\" target=\"_blank\" rel=\"noopener\"> TGR-STA<\/a> como un marcador de posici\u00f3n para denotar un grupo temporal de actividad alineada con un estado mientras continuamos refinando la atribuci\u00f3n a una organizaci\u00f3n espec\u00edfica.<\/p>\n<p>Desde nuestra investigaci\u00f3n inicial, hemos identificado infraestructura del actor que data desde enero de 2024, lo que sugiere que el grupo ha estado activo durante al menos dos a\u00f1os. Durante el \u00faltimo a\u00f1o, hemos monitoreado la evoluci\u00f3n y expansi\u00f3n del grupo a medida que ha comprometido:<\/p>\n<ul>\n<li>Cinco entidades de control fronterizo\/fuerzas del orden a nivel nacional<\/li>\n<li>Tres ministerios de finanzas y varios otros ministerios gubernamentales<\/li>\n<li>Departamentos a nivel mundial que se alinean con funciones econ\u00f3micas, comerciales, de recursos naturales y diplom\u00e1ticas<\/li>\n<\/ul>\n<p>Evaluamos con alta confianza que TGR-STA-1030 es un grupo alineado con un estado que opera desde Asia. Basamos esta evaluaci\u00f3n en los siguientes hallazgos:<\/p>\n<ul>\n<li>Uso frecuente de herramientas y servicios regionales<\/li>\n<li>Preferencias de configuraci\u00f3n de idioma<\/li>\n<li>Objetivos y tiempos que se alinean rutinariamente con eventos e inteligencia de inter\u00e9s para la regi\u00f3n<\/li>\n<li>Conexiones <em>upstream<\/em> (ascendentes) a infraestructura operativa originada en la regi\u00f3n<\/li>\n<li>La actividad del actor se alinea rutinariamente con la zona horaria GMT+8<\/li>\n<\/ul>\n<p>Adem\u00e1s, encontramos que uno de los atacantes utiliza el alias \"JackMa\", que podr\u00eda referirse al empresario multimillonario y fil\u00e1ntropo que cofund\u00f3 Alibaba Group y Yunfeng Capital.<\/p>\n<h2><a id=\"post-171892-_za63mrhp1h29\"><\/a>Phishing<\/h2>\n<p>En febrero de 2025, Unit 42 investig\u00f3 un cl\u00faster de campa\u00f1as de phishing maliciosas dirigidas a gobiernos europeos. Estas campa\u00f1as segu\u00edan un patr\u00f3n de env\u00edo a destinatarios de correo electr\u00f3nico gubernamentales con un se\u00f1uelo sobre una reorganizaci\u00f3n de un ministerio o departamento y enlaces a archivos maliciosos alojados en <span style=\"font-family: 'courier new', courier, monospace;\">mega[.]nz<\/span>. La Figura 1 a continuaci\u00f3n muestra un ejemplo.<\/p>\n<figure id=\"attachment_171893\" aria-describedby=\"caption-attachment-171893\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171893 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-5677-171892-1.png\" alt=\"Captura de pantalla de un correo electr\u00f3nico de phishing, traducida. El mensaje anuncia cambios organizacionales en un ministerio gubernamental, haciendo hincapi\u00e9 en mejoras en la interacci\u00f3n global y la eficiencia de la estructura. Incluye un enlace a los detalles de los cambios y una invitaci\u00f3n para enviar comentarios.\" width=\"900\" height=\"532\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-5677-171892-1.png 946w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-5677-171892-1-745x440.png 745w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-5677-171892-1-768x454.png 768w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-171893\" class=\"wp-caption-text\">Figura 1. Ejemplo de correo electr\u00f3nico de phishing (traducido).<\/figcaption><\/figure>\n<p>Al hacer clic en el enlace, se descarga un archivo comprimido con un idioma y nombre consistentes con el pa\u00eds y ministerio objetivo.<\/p>\n<p>Evaluamos que una entidad gubernamental de Estonia identific\u00f3 la campa\u00f1a y subi\u00f3 uno de esos<a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/66ec547b97072828534d43022d766e06c17fc1cafe47fbd9d1ffc22e2d52a9c0\" target=\"_blank\" rel=\"noopener\"> archivos zip<\/a> a un repositorio p\u00fablico de malware. En este caso, el nombre de archivo en estonio era:<\/p>\n<p style=\"padding-left: 40px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Politsei- ja Piirivalveameti organisatsiooni struktuuri muudatused.zip<\/span><\/p>\n<p>Esto se traduce como \"<span style=\"font-family: 'courier new', courier, monospace;\">Cambios en la estructura organizativa de la Junta de Polic\u00eda y Guardia Fronteriza.zip<\/span>\".<\/p>\n<h3><a id=\"post-171892-_usvzdt4gaiq5\"><\/a><strong>Cargador<\/strong> Diaoyu<\/h3>\n<p>Al analizar el archivo, encontramos que el contenido fue modificado por \u00faltima vez el 14 de febrero de 2025. Adem\u00e1s, el archivo en s\u00ed contiene<a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/23ee251df3f9c46661b33061035e9f6291894ebe070497ff9365d6ef2966f7fe\" target=\"_blank\" rel=\"noopener\"> un archivo ejecutable<\/a> con un nombre id\u00e9ntico al ZIP y un archivo de cero bytes llamado <span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span>.<\/p>\n<p>Revisando los metadatos del ejecutable, encontramos que la versi\u00f3n del archivo se presenta como <span style=\"font-family: 'courier new', courier, monospace;\">2025,2,13,0,<\/span> lo que sugiere que el archivo probablemente fue creado un d\u00eda antes, el 13 de febrero. Esta fecha tambi\u00e9n corresponde a la marca de tiempo de compilaci\u00f3n PE.<\/p>\n<p>Adicionalmente, los metadatos muestran que el nombre original del archivo era <span style=\"font-family: 'courier new', courier, monospace;\">DiaoYu.exe<\/span>. El t\u00e9rmino <em>Diaoyu<\/em> se traduce como pescar, o <em>phishing<\/em> en un contexto de ciberseguridad.<\/p>\n<p>El malware emplea una protecci\u00f3n de ejecuci\u00f3n de doble etapa para frustrar el an\u00e1lisis automatizado en sandbox. M\u00e1s all\u00e1 del requisito de hardware de una resoluci\u00f3n de pantalla horizontal mayor o igual a 1440, la muestra realiza una comprobaci\u00f3n de dependencia ambiental para un archivo espec\u00edfico (<span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span>) en su directorio de ejecuci\u00f3n.<\/p>\n<p>En este contexto, <span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span> act\u00faa como una comprobaci\u00f3n de integridad basada en archivos. Si la muestra de malware se env\u00eda a un sandbox de forma aislada, la ausencia de este archivo auxiliar provoca que el proceso termine correctamente antes de la detonaci\u00f3n, ocultando efectivamente su comportamiento malicioso. Solo al satisfacer estos requisitos previos, el malware procede a auditar el host en busca de los siguientes productos de ciberseguridad:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Avp.exe<\/span> (Kaspersky)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">SentryEye.exe<\/span> (Avira)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">EPSecurityService.exe<\/span> (Bitdefender)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">SentinelUI.exe<\/span> (Sentinel One)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">NortonSecurity.exe<\/span> (Symantec)<\/li>\n<\/ul>\n<p>Esta selecci\u00f3n reducida de productos es interesante, y no est\u00e1 claro por qu\u00e9 el actor eligi\u00f3 buscar solo estos productos espec\u00edficos. Si bien varias familias de malware com\u00fanmente verifican la presencia de productos antivirus, los autores de malware suelen incluir una lista m\u00e1s completa que abarca una variedad de proveedores globales.<\/p>\n<p>Despu\u00e9s de verificar estos productos, el malware descarga los siguientes archivos desde GitHub:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/admin-bar-sprite[.]png<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/Linux[.]jpg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/Windows[.]jpg<\/span><\/li>\n<\/ul>\n<p>Cabe se\u00f1alar que el proyecto de GitHub <em>padeqav<\/em> ya no est\u00e1 disponible.<\/p>\n<p>Finalmente, el malware realiza una serie de acciones sobre estos archivos que resultan en \u00faltima instancia en la instalaci\u00f3n de una carga \u00fatil (payload) de Cobalt Strike.<\/p>\n<h2><a id=\"post-171892-_xfuc8xu6vjuz\"><\/a>Explotaci\u00f3n<\/h2>\n<p>Adem\u00e1s de las campa\u00f1as de phishing, el grupo a menudo combina intentos de explotaci\u00f3n con sus actividades de reconocimiento para obtener acceso inicial a las redes objetivo. Hasta la fecha, no hemos observado al grupo desarrollando, probando o desplegando exploits de d\u00eda cero (<em>zero-day<\/em>). Sin embargo, evaluamos que el grupo se siente c\u00f3modo probando y desplegando una amplia gama de herramientas comunes, kits de explotaci\u00f3n y c\u00f3digo de prueba de concepto para exploits de d\u00eda N (<em>N-day<\/em>).<\/p>\n<p>Por ejemplo, durante el \u00faltimo a\u00f1o, nuestro servicio Advanced Threat Prevention ha detectado y bloqueado intentos del grupo para explotar los siguientes tipos de vulnerabilidades:<\/p>\n<ul>\n<li>Vulnerabilidad de escalada de privilegios en SAP Solution Manager<\/li>\n<li>Vulnerabilidad de lectura remota de archivos XXE en Pivotal Spring Data Commons<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en Microsoft Open Management Infrastructure<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en Microsoft Exchange Server<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en D-Link<\/li>\n<li>Intento de solicitud de recorrido de directorios HTTP<\/li>\n<li>Intento de inyecci\u00f3n SQL HTTP<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo OGNL en Struts2<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de comandos en Ruijieyi Networks<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de comandos en Eyou Email System<\/li>\n<li>Vulnerabilidad de inyecci\u00f3n SQL en Beijing Grandview Century eHR Software<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en Weaver Ecology-OA<\/li>\n<li>Intento de acceso a <span style=\"font-family: 'courier new', courier, monospace;\">win.ini<\/span> de Microsoft Windows detectado<\/li>\n<li>Vulnerabilidad de elusi\u00f3n de autenticaci\u00f3n en descarga de archivos en Commvault CommCell CVSearchService<\/li>\n<li>Vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en Zhiyuan OA<\/li>\n<\/ul>\n<p>En una ocasi\u00f3n, observamos al actor conect\u00e1ndose a servicios de pasaportes electr\u00f3nicos y visados electr\u00f3nicos asociados con un ministerio de relaciones exteriores. Debido a que el servidor para estos servicios estaba configurado con el software Atlassian Crowd, el actor intent\u00f3 explotar la<a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2019-11580\" target=\"_blank\" rel=\"noopener\"> CVE-2019-11580<\/a>, cargando un payload llamado <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/9ed487498235f289a960a5cc794fa0ad0f9ef5c074860fea650e88c525da0ab4\" target=\"_blank\" rel=\"noopener\">rce.jar<\/a><\/span>. El c\u00f3digo incluido en el payload era similar a la descripci\u00f3n del c\u00f3digo de otro an\u00e1lisis de la CVE-2019-11580 proporcionado por<a href=\"https:\/\/www.anquanke.com\/post\/id\/225375\" target=\"_blank\" rel=\"noopener\"> Anquanke<\/a>.<\/p>\n<h2><a id=\"post-171892-_nitegv9tzdo7\"><\/a>Herramientas<\/h2>\n<p>Evaluamos que el grupo depende en gran medida de una mezcla de marcos de comando y control (C2) y herramientas comunes en la regi\u00f3n de los actores para moverse lateralmente y mantener acceso persistente dentro de los entornos comprometidos.<\/p>\n<h3><a id=\"post-171892-_sugfdvugnzrz\"><\/a><strong>Marcos de<\/strong> trabajo<strong> C2<\/strong><\/h3>\n<p>Desde 2024 hasta principios de 2025, observamos al grupo desplegando com\u00fanmente payloads de Cobalt Strike. Sin embargo, con el tiempo el grupo hizo una transici\u00f3n lenta hacia VShell como su herramienta preferida.<\/p>\n<p>VShell es un marco C2 basado en Go. El grupo a menudo configura su acceso web en puertos TCP ef\u00edmeros de 5 d\u00edgitos utilizando n\u00fameros ordenados. En noviembre de 2025,<a href=\"https:\/\/blog.nviso.eu\/wp-content\/uploads\/2025\/11\/VShell.pdf\" target=\"_blank\" rel=\"noopener\"> NVISO public\u00f3 una investigaci\u00f3n exhaustiva<\/a> sobre los or\u00edgenes de esta herramienta, sus caracter\u00edsticas y su uso a gran escala por m\u00faltiples grupos de amenazas y actores.<\/p>\n<p>En el \u00faltimo a\u00f1o, evaluamos que el grupo tambi\u00e9n ha aprovechado marcos como Havoc, SparkRat y Sliver con diversos grados de \u00e9xito.<\/p>\n<h3><a id=\"post-171892-_1dwu5r536sye\"><\/a><strong>Web<\/strong> Shells<\/h3>\n<p>TGR-STA-1030 ha desplegado frecuentemente web shells en servidores web expuestos externamente, as\u00ed como en servidores web internos, para mantener el acceso y permitir el movimiento lateral. Las tres web shells m\u00e1s comunes utilizadas por el grupo son Behinder, Neo-reGeorg y Godzilla.<\/p>\n<p>Adem\u00e1s, notamos durante una investigaci\u00f3n que el grupo intent\u00f3 ofuscar sus web shells Godzilla utilizando c\u00f3digo del proyecto de GitHub <span style=\"font-family: 'courier new', courier, monospace;\">Tas9er<\/span>. Este proyecto ofusca el c\u00f3digo creando funciones y cadenas con nombres como <span style=\"font-family: 'courier new', courier, monospace;\">Baidu<\/span>. Tambi\u00e9n a\u00f1ade mensajes expl\u00edcitos a los gobiernos.<\/p>\n<h3><a id=\"post-171892-_eawsvptbtmlf\"><\/a>T\u00faneles<\/h3>\n<p>Hemos observado al grupo aprovechando GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) e IOX tanto en su infraestructura C2 como en redes comprometidas para tunelizar el tr\u00e1fico de red deseado.<\/p>\n<h3><a id=\"post-171892-_f9v6p8g33sop\"><\/a><strong>Presentando<\/strong> ShadowGuard<\/h3>\n<p>Durante una investigaci\u00f3n, identificamos al grupo utilizando un nuevo rootkit del kernel de Linux, ShadowGuard. La muestra que descubrimos (hash SHA-256 <span style=\"font-family: 'courier new', courier, monospace;\">7808B1E01EA790548B472026AC783C73A033BB90BBE548BF3006ABFBCB48C52D<\/span>) es un rootkit eBPF (Extended Berkeley Packet Filter) dise\u00f1ado para sistemas Linux. En este momento, evaluamos que el uso de este rootkit es exclusivo de este grupo.<\/p>\n<p>Las puertas traseras (<em>backdoors<\/em>) eBPF son notoriamente dif\u00edciles de detectar porque operan completamente dentro del espacio del kernel, que es altamente confiable. Los programas eBPF no aparecen como m\u00f3dulos separados. En su lugar, se ejecutan dentro de la m\u00e1quina virtual BPF del kernel, lo que los hace inherentemente sigilosos. Esto les permite manipular funciones centrales del sistema y registros de auditor\u00eda antes de que las herramientas de seguridad o las aplicaciones de monitoreo del sistema puedan ver los datos reales.<\/p>\n<p>Esta puerta trasera aprovecha la tecnolog\u00eda eBPF para proporcionar las siguientes capacidades de sigilo a nivel de kernel:<\/p>\n<ul>\n<li><strong>Ocultamiento a nivel de kernel:<\/strong> Puede ocultar detalles de informaci\u00f3n de procesos directamente a nivel de kernel.<\/li>\n<li><strong>Ocultamiento de procesos (intercepci\u00f3n de llamadas al sistema):<\/strong> La herramienta intercepta llamadas cr\u00edticas al sistema, espec\u00edficamente utilizando se\u00f1ales de interrupci\u00f3n (<em>kill signals<\/em>) personalizadas (puntos de entrada y salida) para identificar qu\u00e9 procesos el atacante desea ocultar.\n<ul>\n<li>Oculta IDs de proceso (PIDs) especificados, haci\u00e9ndolos invisibles para las herramientas de an\u00e1lisis est\u00e1ndar del espacio de usuario como el comando <span style=\"font-family: 'courier new', courier, monospace;\">ps aux<\/span> est\u00e1ndar de Linux.<\/li>\n<li>Puede ocultar hasta 32 procesos simult\u00e1neamente.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Ocultamiento de archivos y directorios:<\/strong> Cuenta con una verificaci\u00f3n codificada (<em>hard-coded<\/em>) para ocultar espec\u00edficamente directorios y archivos llamados <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span>.<\/li>\n<li><strong>Listas permitidas:<\/strong> La puerta trasera incluye un mecanismo de lista permitida donde los procesos colocados en la lista son excluidos deliberadamente y no se ven afectados por la funcionalidad de ocultamiento.<\/li>\n<\/ul>\n<p>Cuando se inicia, el programa verificar\u00e1 autom\u00e1ticamente lo siguiente:<\/p>\n<ul>\n<li>Privilegios de root<\/li>\n<li>Soporte eBPF<\/li>\n<li>Soporte Tracepoint<\/li>\n<\/ul>\n<p>Los comandos de ejemplo una vez que ShadowGuard se ha iniciado se muestran a continuaci\u00f3n en la Tabla 1.<\/p>\n<table style=\"width: 100%; height: 280px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; width: 51.7797%; height: 24px;\"><strong>Comando<\/strong><\/td>\n<td style=\"text-align: center; width: 47.5424%; height: 24px;\"><strong>Descripci\u00f3n general<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 51.7797%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">kill -900 1234<\/span><\/td>\n<td style=\"width: 47.5424%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">-900<\/span> = Agregar PID objetivo (1234) a la lista permitida<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 51.7797%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">kill -901 1234<\/span><\/td>\n<td style=\"width: 47.5424%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">-901<\/span> = Eliminar PID objetivo (1234) de la lista permitida<\/td>\n<\/tr>\n<tr style=\"height: 208px;\">\n<td style=\"width: 51.7797%; height: 208px;\"><span style=\"font-family: 'courier new', courier, monospace;\">touch swsecret_config.txt<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">mkdir swsecret_data<\/span><\/p>\n<p>Nota: Por defecto, ShadowGuard esconde\/oculta cualquier directorio o archivo llamado <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span>. Este podr\u00eda ser un nombre en clave interno abreviado utilizado por los desarrolladores del rootkit para etiquetar sus propios archivos. Ejemplo: \u201cPoner toda la configuraci\u00f3n y registros dentro de un directorio llamado <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span>.\u201d<\/td>\n<td style=\"width: 47.5424%; height: 208px;\"><span style=\"font-family: 'courier new', courier, monospace;\">ls -la<\/span> los archivos\/directorios que comienzan con <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span> deber\u00edan mostrarse como un punto . (es decir, deber\u00edan estar ocultos)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tabla 1. Ejemplos de comandos para ShadowGuard.<\/p>\n<h2><a id=\"post-171892-_3lgkicncdrcv\"><\/a>Infraestructura<\/h2>\n<p>De manera consistente con cualquier actor avanzado que realiza ciberespionaje, este grupo hace grandes esfuerzos para enmascarar y ofuscar el origen de sus operaciones. Sin embargo, a pesar de todos sus mejores esfuerzos, es excepcionalmente dif\u00edcil superar los siguientes dos desaf\u00edos:<\/p>\n<ol>\n<li><strong>Inspecci\u00f3n de tr\u00e1fico de red:<\/strong> Es ampliamente conocido que varias naciones emplean m\u00e9todos para censurar y filtrar el tr\u00e1fico que entra\/sale de sus respectivos pa\u00edses. Como tal, es extremadamente improbable que grupos de ciberespionaje extranjeros enruten voluntariamente su tr\u00e1fico de red a trav\u00e9s de cualquier naci\u00f3n que emplee estas capacidades de inspecci\u00f3n.<\/li>\n<li><strong>Evoluci\u00f3n de la red:<\/strong> Mantener la infraestructura para operaciones de ciberespionaje es dif\u00edcil. Requiere la creaci\u00f3n rutinaria de nuevos dominios, servidores privados virtuales (VPS) y t\u00faneles de red. Estudiar la infraestructura de un grupo a lo largo del tiempo casi siempre revela errores y fallos donde los t\u00faneles colapsan o tal vez los servicios de protecci\u00f3n de identidad caducan.<\/li>\n<\/ol>\n<h3><a id=\"post-171892-_szx8tpuyevqn\"><\/a><strong>Estructura de<\/strong> red<\/h3>\n<p>Evaluamos que el grupo aplica un enfoque de infraestructura de m\u00faltiples niveles para ofuscar sus actividades.<\/p>\n<h4>Orientada a la v\u00edctima<\/h4>\n<p>El grupo alquila y configura rutinariamente sus servidores C2 en infraestructura propiedad de una variedad de proveedores de VPS leg\u00edtimos y com\u00fanmente conocidos. Sin embargo, a diferencia de la mayor\u00eda de los grupos que configuran su infraestructura maliciosa en proveedores \"a prueba de balas\" (<em>bulletproof<\/em>) o en ubicaciones oscuras, este grupo prefiere establecer su infraestructura en pa\u00edses que tienen un fuerte estado de derecho.<\/p>\n<p>Por ejemplo, el grupo elige frecuentemente servidores virtuales en EE. UU., Reino Unido y Singapur. Evaluamos que esta preferencia por estas ubicaciones probablemente ayuda al grupo de tres maneras:<\/p>\n<ol>\n<li>La infraestructura puede parecer m\u00e1s leg\u00edtima para los defensores de la red.<\/li>\n<li>Esto podr\u00eda permitir conexiones de baja latencia a trav\u00e9s de Am\u00e9rica, Europa y el Sudeste Asi\u00e1tico.<\/li>\n<li>Estas ubicaciones tienen leyes, pol\u00edticas y prioridades separadas que rigen las operaciones de sus organizaciones nacionales de aplicaci\u00f3n de la ley y de inteligencia extranjera. Por lo tanto, tener infraestructura en estas ubicaciones probablemente requiere esfuerzos de cooperaci\u00f3n entre agencias para que sus gobiernos investiguen y rastreen al grupo de manera efectiva.<\/li>\n<\/ol>\n<h4>Rel\u00e9s (Relays)<\/h4>\n<p>Para conectarse a la infraestructura C2, el grupo alquila infraestructura VPS adicional que utiliza para retransmitir el tr\u00e1fico. Estos hosts a menudo se configuran con SSH en el puerto 22 o en un puerto ef\u00edmero de n\u00famero alto. En algunos casos, tambi\u00e9n hemos observado hosts configurados con RDP en el puerto 3389.<\/p>\n<h4>Proxies<\/h4>\n<p>Con el tiempo, el grupo ha aprovechado una variedad de capacidades para anonimizar sus conexiones a la infraestructura de rel\u00e9s. A principios de 2025, observamos al grupo utilizando infraestructura que asociamos con DataImpulse, una compa\u00f1\u00eda que proporciona servicios de proxy residencial. Desde entonces, hemos observado al grupo utilizando la red Tor y otros servicios de proxy.<\/p>\n<h4><strong>Upstream (Ascendente)<\/strong><\/h4>\n<p>Al rastrear la infraestructura <em>upstream<\/em>, es importante reconocer que el objetivo principal de un grupo de espionaje es robar datos. Para lograr esa tarea, un grupo tiene que construir una ruta desde la red comprometida de regreso a una red a la que pueda acceder. Como tal, el flujo de datos <em>upstream<\/em> t\u00edpicamente se correlaciona geogr\u00e1ficamente con la ubicaci\u00f3n f\u00edsica del grupo.<\/p>\n<p>Como se se\u00f1al\u00f3 anteriormente, el acto de mantener toda esta infraestructura y sus conexiones asociadas es bastante desafiante. En ocasiones, el grupo comete errores ya sea porque olvida establecer un t\u00fanel o porque un t\u00fanel colapsa. Cuando esto sucede, el grupo se conecta directamente desde su infraestructura <em>upstream<\/em>.<\/p>\n<p>En varias ocasiones, hemos observado al grupo conect\u00e1ndose directamente a la infraestructura de rel\u00e9 y orientada a la v\u00edctima desde direcciones IP pertenecientes al Sistema Aut\u00f3nomo (AS) 9808. Estas direcciones IP son propiedad de un proveedor de servicios de internet en la regi\u00f3n del grupo.<\/p>\n<h3><a id=\"post-171892-_euyaudtt5qkh\"><\/a>Dominios<\/h3>\n<p>Hemos identificado varios dominios utilizados por el grupo para facilitar las comunicaciones C2 de malware. La mayor\u00eda se registraron con los siguientes dominios de nivel superior (TLD):<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">help<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tech<\/span><\/li>\n<\/ul>\n<p>Entre los dominios destacados se incluyen:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span><\/li>\n<\/ul>\n<p>El grupo utiliz\u00f3 este dominio para atacar a pa\u00edses franc\u00f3fonos que usan <em>gouv<\/em> para denotar dominios gubernamentales. Si bien el actor apunt\u00f3 consistentemente este nombre de dominio a una infraestructura VPS arrendada orientada a la v\u00edctima, notamos una anomal\u00eda a fines de 2024. Aunque el dominio nunca apunt\u00f3 a \u00e9l, el actor parece haber copiado un certificado X.509 con el nombre com\u00fan <span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span> desde un VPS orientado a la v\u00edctima a un servidor de Tencent ubicado en la regi\u00f3n de los actores. Aqu\u00ed fue visible durante cuatro d\u00edas en noviembre de 2024.<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dog3rj[.]tech<\/span><\/li>\n<\/ul>\n<p>El grupo utiliz\u00f3 este dominio para atacar a naciones europeas. Es posible que el nombre de dominio pueda ser una referencia a \"DOGE Jr\", que tiene varios significados en un contexto occidental, como el Departamento de Eficiencia Gubernamental de EE. UU. o el nombre de una criptomoneda. Este dominio fue registrado utilizando una direcci\u00f3n de correo electr\u00f3nico asociada con el dominio <span style=\"font-family: 'courier new', courier, monospace;\">888910[.]xyz<\/span>.<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zamstats[.]me<\/span><\/li>\n<\/ul>\n<p>El grupo utiliz\u00f3 este dominio para atacar al gobierno de Zambia.<\/p>\n<h2><a id=\"post-171892-_q1yjtqpg9k5o\"><\/a>Panorama global de objetivos<\/h2>\n<p>En el transcurso del \u00faltimo a\u00f1o, el grupo ha aumentado sustancialmente sus esfuerzos de escaneo y reconocimiento. Este cambio sigue a la evoluci\u00f3n del grupo desde correos electr\u00f3nicos de phishing hacia exploits para el acceso inicial. Lo m\u00e1s emblem\u00e1tico de esta actividad es que observamos al grupo escaneando infraestructura en 155 pa\u00edses entre noviembre y diciembre de 2025, como se indica en la Figura 2.<\/p>\n<figure id=\"attachment_171904\" aria-describedby=\"caption-attachment-171904\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171904 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-8059-171892-2.png\" alt=\"Mapa mundial que muestra varios pa\u00edses resaltados en naranja.\" width=\"1000\" height=\"469\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-8059-171892-2.png 1425w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-8059-171892-2-786x368.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-8059-171892-2-768x360.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171904\" class=\"wp-caption-text\">Figura 2. Pa\u00edses objetivo del reconocimiento de TGR-STA-1030 entre noviembre y diciembre de 2025.<\/figcaption><\/figure>\n<p>Dada la naturaleza expansiva de la actividad, algunos analistas podr\u00edan asumir err\u00f3neamente que el grupo simplemente lanza escaneos amplios a trav\u00e9s de todo el espacio IPv4 desde <span style=\"font-family: 'courier new', courier, monospace;\">1.1.1[.]1<\/span> hasta <span style=\"font-family: 'courier new', courier, monospace;\">255.255.255[.]255<\/span>, pero ese no es el caso. Seg\u00fan nuestra observaci\u00f3n, el grupo enfoca su escaneo estrechamente en la infraestructura gubernamental y objetivos espec\u00edficos de inter\u00e9s en cada pa\u00eds.<\/p>\n<p>Los esfuerzos de reconocimiento del grupo arrojan luz sobre sus intereses globales. Tambi\u00e9n hemos observado el \u00e9xito del grupo al comprometer varias organizaciones gubernamentales y de infraestructura cr\u00edtica a nivel mundial. Evaluamos que durante el \u00faltimo a\u00f1o, el grupo comprometi\u00f3 al menos 70 organizaciones en 37 pa\u00edses, como se muestra en la Figura 3. Los atacantes pudieron mantener el acceso a varias de las entidades afectadas durante meses.<\/p>\n<figure id=\"attachment_171915\" aria-describedby=\"caption-attachment-171915\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171915 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-10097-171892-3.png\" alt=\"Mapa mundial que muestra varios pa\u00edses destacados en naranja. Los pa\u00edses incluyen aquellos ubicados en las Am\u00e9ricas, \u00c1frica, Europa y Asia.\" width=\"1000\" height=\"455\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-10097-171892-3.png 1272w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-10097-171892-3-786x358.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-10097-171892-3-768x350.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171915\" class=\"wp-caption-text\">Figura 3. Ubicaciones de las organizaciones afectadas en 2025.<\/figcaption><\/figure>\n<p>Las organizaciones afectadas incluyen ministerios y departamentos del interior, asuntos exteriores, finanzas, comercio, econom\u00eda, inmigraci\u00f3n, miner\u00eda, justicia y energ\u00eda.<\/p>\n<p>Este grupo comprometi\u00f3 el parlamento de una naci\u00f3n y a un alto funcionario electo de otra. Tambi\u00e9n comprometi\u00f3 a empresas de telecomunicaciones a nivel nacional y a varias organizaciones nacionales de polic\u00eda y contraterrorismo.<\/p>\n<p>Si bien este grupo podr\u00eda estar persiguiendo objetivos de espionaje, sus m\u00e9todos, objetivos y escala de operaciones son alarmantes, con posibles consecuencias a largo plazo para la seguridad nacional y los servicios clave.<\/p>\n<p>Al monitorear de cerca el momento de las operaciones del grupo, hemos establecido correlaciones entre varias de sus campa\u00f1as y eventos del mundo real. Estas correlaciones informan las evaluaciones sobre las posibles motivaciones del grupo. Las siguientes secciones proporcionan informaci\u00f3n adicional sobre situaciones notables por regi\u00f3n geogr\u00e1fica.<\/p>\n<h3><a id=\"post-171892-_dgw70wk15aq8\"><\/a>Am\u00e9rica<\/h3>\n<p>Durante el cierre del gobierno de EE. UU. que comenz\u00f3 en octubre de 2025, el grupo comenz\u00f3 a mostrar un mayor inter\u00e9s en organizaciones y eventos que ocurr\u00edan en pa\u00edses de Am\u00e9rica del Norte, Central y del Sur. Durante ese mes, observamos escaneos de infraestructura gubernamental en Brasil, Canad\u00e1, Rep\u00fablica Dominicana, Guatemala, Honduras, Jamaica, M\u00e9xico, Panam\u00e1 y Trinidad y Tobago.<\/p>\n<p>Quiz\u00e1s el reconocimiento m\u00e1s pronunciado ocurri\u00f3 el 31 de octubre de 2025, cuando observamos conexiones a al menos 200 direcciones IP que alojaban infraestructura del Gobierno de Honduras. El momento de esta actividad cae solo 30 d\u00edas antes de la elecci\u00f3n nacional, en la cual ambos candidatos se\u00f1alaron apertura para restaurar las relaciones diplom\u00e1ticas con Taiw\u00e1n.<\/p>\n<p>Adem\u00e1s de las actividades de reconocimiento, evaluamos que el grupo probablemente comprometi\u00f3 entidades gubernamentales en Bolivia, Brasil, M\u00e9xico, Panam\u00e1 y Venezuela, como se indica en la Figura 4.<\/p>\n<figure id=\"attachment_171926\" aria-describedby=\"caption-attachment-171926\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171926 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-12129-171892-4.png\" alt=\"Mapa que destaca a M\u00e9xico, Colombia y Venezuela en naranja, con las dem\u00e1s \u00e1reas en gris.\" width=\"1000\" height=\"956\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-12129-171892-4.png 1182w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-12129-171892-4-460x440.png 460w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-12129-171892-4-732x700.png 732w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-12129-171892-4-768x734.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171926\" class=\"wp-caption-text\">Figura 4. Ubicaci\u00f3n de las entidades afectadas en Am\u00e9rica.<\/figcaption><\/figure>\n<h4><a id=\"post-171892-_uqgxtuevzwds\"><\/a>Bolivia<\/h4>\n<p>Evaluamos que el grupo probablemente comprometi\u00f3 la red de una entidad boliviana asociada con la miner\u00eda. La motivaci\u00f3n detr\u00e1s de esta actividad podr\u00eda estar asociada con el inter\u00e9s en minerales de tierras raras.<\/p>\n<p>Consideramos notable que el tema de los derechos mineros se convirtiera en un foco central en la reciente elecci\u00f3n presidencial de Bolivia. A finales de julio de 2025, el candidato Jorge Quiroga prometi\u00f3 cancelar acuerdos mineros multimillonarios que el gobierno boliviano hab\u00eda firmado previamente con dos naciones.<\/p>\n<h4><a id=\"post-171892-_ym4d3p2t1s2s\"><\/a>Brasil<\/h4>\n<p>Evaluamos que el grupo comprometi\u00f3 el Ministerio de Minas y Energ\u00eda de Brasil. Se considera que Brasil tiene la segunda mayor reserva de minerales de tierras raras del mundo.<\/p>\n<p>Seg\u00fan informes p\u00fablicos, las exportaciones de estos minerales se triplicaron en la primera mitad de 2025. A medida que las compa\u00f1\u00edas asi\u00e1ticas endurecen su control global sobre estos recursos, EE. UU. ha comenzado a mirar a Brasil para un abastecimiento alternativo.<\/p>\n<p>En octubre, el Encargado de Negocios de EE. UU. en Brasil sostuvo reuniones con ejecutivos mineros en el pa\u00eds. A principios de noviembre, la Corporaci\u00f3n Financiera de Desarrollo Internacional de EE. UU. invirti\u00f3 465 millones de d\u00f3lares en Serra Verde (un productor brasile\u00f1o de tierras raras). Esto ha sido visto como un esfuerzo para reducir la dependencia de Asia para estos minerales clave.<\/p>\n<h4><a id=\"post-171892-_yticheede6pd\"><\/a>M\u00e9xico<\/h4>\n<p>Evaluamos que el grupo comprometi\u00f3 dos de los ministerios de M\u00e9xico. Es muy probable que esta actividad est\u00e9 asociada con acuerdos comerciales internacionales.<\/p>\n<p>El 25 de septiembre de 2025, Mexico News Daily inform\u00f3 sobre una investigaci\u00f3n sobre los \u00faltimos planes de M\u00e9xico para imponer aranceles a ciertos bienes. Coincidentemente, se vio tr\u00e1fico de red malicioso origin\u00e1ndose desde redes pertenecientes a los ministerios de M\u00e9xico dentro de las 24 horas posteriores al anuncio de la investigaci\u00f3n comercial.<\/p>\n<h4><a id=\"post-171892-_y8hfi5uo63j2\"><\/a>Panam\u00e1<\/h4>\n<p>En diciembre de 2025, un informe declar\u00f3 que las autoridades locales destruyeron un monumento, provocando la condena inmediata de algunos l\u00edderes y llamados a una investigaci\u00f3n.<\/p>\n<p>Coincidentemente, casi al mismo tiempo, evaluamos que TGR-STA-1030 probablemente comprometi\u00f3 infraestructura gubernamental que puede estar asociada con la investigaci\u00f3n.<\/p>\n<h4><a id=\"post-171892-_thrttvwlanvd\"><\/a>Venezuela<\/h4>\n<p>El 3 de enero de 2026, EE. UU. lanz\u00f3 la Operaci\u00f3n Resoluci\u00f3n Absoluta (<em>Operation Absolute Resolve<\/em>). Esta operaci\u00f3n result\u00f3 en la captura del presidente venezolano y su esposa. En los d\u00edas que siguieron, TGR-STA-1030 realiz\u00f3 extensas actividades de reconocimiento dirigidas a al menos 140 direcciones IP propiedad del gobierno.<\/p>\n<p>Evaluamos adem\u00e1s que tan pronto como el 4 de enero de 2026, el grupo probablemente comprometi\u00f3 una direcci\u00f3n IP que se geolocaliza en una instalaci\u00f3n de Venezolana de Industria Tecnol\u00f3gica, como se ve en la Figura 5. Esta organizaci\u00f3n fue fundada originalmente como una empresa conjunta entre el gobierno venezolano y una compa\u00f1\u00eda de tecnolog\u00eda asi\u00e1tica. La empresa permiti\u00f3 la producci\u00f3n de computadoras como un paso temprano hacia la profundizaci\u00f3n de los lazos tecnol\u00f3gicos y econ\u00f3micos entre las dos regiones.<\/p>\n<figure id=\"attachment_171675\" aria-describedby=\"caption-attachment-171675\" style=\"width: 717px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171675 size-medium lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-717x440.png\" alt=\"Imagen satelital que muestra una ubicaci\u00f3n marcada utilizando Google Street Maps.\" width=\"717\" height=\"440\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-717x440.png 717w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-1141x700.png 1141w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-768x471.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-1536x942.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2.png 1679w\" sizes=\"(max-width: 717px) 100vw, 717px\" \/><figcaption id=\"caption-attachment-171675\" class=\"wp-caption-text\">Figura 5. Datos de geolocalizaci\u00f3n para la direcci\u00f3n IP comprometida.<\/figcaption><\/figure>\n<h3><a id=\"post-171892-_93yyizzhcrl1\"><\/a>Europa<\/h3>\n<p>A lo largo de 2025, TGR-STA-1030 aument\u00f3 su enfoque en las naciones europeas. En julio de 2025, aplic\u00f3 un enfoque concertado hacia Alemania, donde inici\u00f3 conexiones a m\u00e1s de 490 direcciones IP que alojaban infraestructura gubernamental.<\/p>\n<p>En agosto de 2025, el presidente checo Petr Pavel se reuni\u00f3 en privado con el Dalai Lama durante un viaje a la India. En las semanas que siguieron, observamos escaneos de infraestructura gubernamental checa, incluyendo:<\/p>\n<ul>\n<li>El Ej\u00e9rcito<\/li>\n<li>La Polic\u00eda<\/li>\n<li>El Parlamento<\/li>\n<li>Ministerios del Interior, Finanzas y Asuntos Exteriores<\/li>\n<\/ul>\n<p>A principios de noviembre, una fuente de noticias tibetana anunci\u00f3 que el<a href=\"https:\/\/www.tibetanreview.net\/czech-president-to-copatron-dalai-lama-90th-birthday-gala-this-month\/\" target=\"_blank\" rel=\"noopener\"> presidente checo tambi\u00e9n copatrocinar\u00eda la gala del 90 cumplea\u00f1os del Dalai Lama<\/a>. Poco despu\u00e9s, presenciamos una segunda ronda de escaneos enfocados estrechamente en el sitio web del presidente checo.<\/p>\n<p>Por separado, a finales de agosto, el grupo aplic\u00f3 un enfoque concertado en la infraestructura de la Uni\u00f3n Europea. Observamos al grupo intentando conectarse a m\u00e1s de 600 direcciones IP que alojaban dominios <span style=\"font-family: 'courier new', courier, monospace;\">*.europa[.]eu<\/span>.<\/p>\n<p>Adem\u00e1s de las actividades de reconocimiento, evaluamos que el grupo probablemente comprometi\u00f3 entidades gubernamentales en pa\u00edses de Chipre, Chequia, Alemania, Grecia, Italia, Polonia, Portugal y Serbia, como se muestra en la Figura 6. Al hacerlo, el grupo comprometi\u00f3 al menos un ministerio de finanzas donde busc\u00f3 recopilar inteligencia sobre desarrollo internacional tanto del pa\u00eds afectado como de la Uni\u00f3n Europea.<\/p>\n<figure id=\"attachment_171937\" aria-describedby=\"caption-attachment-171937\" style=\"width: 678px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171937 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-19997-171892-6.png\" alt=\"Mapa de Europa que destaca varios pa\u00edses resaltados en naranja, incluidos Italia, Alemania y Grecia.\" width=\"678\" height=\"431\" \/><figcaption id=\"caption-attachment-171937\" class=\"wp-caption-text\">Figura 6. Ubicaciones de las entidades afectadas en Europa.<\/figcaption><\/figure>\n<h4><a id=\"post-171892-_4ve3ioy509zx\"><\/a>Chipre<\/h4>\n<p>Evaluamos que el grupo comprometi\u00f3 infraestructura gubernamental a principios de 2025. El momento de esta actividad coincidi\u00f3 con los esfuerzos de una naci\u00f3n asi\u00e1tica para expandir ciertas asociaciones econ\u00f3micas en toda Europa. En ese momento, Chipre tambi\u00e9n estaba tomando medidas preparatorias para asumir la presidencia del Consejo de la Uni\u00f3n Europea a finales de a\u00f1o, una posici\u00f3n que ocupa actualmente.<\/p>\n<h4><a id=\"post-171892-_4upsprjrytsg\"><\/a>Grecia<\/h4>\n<p>Evaluamos que el grupo probablemente comprometi\u00f3 infraestructura asociada con el<a href=\"https:\/\/syzefxis.ddt.gov.gr\/\" target=\"_blank\" rel=\"noopener\"> Proyecto Syzefxis<\/a>. Este proyecto ten\u00eda la intenci\u00f3n de modernizar las organizaciones del sector p\u00fablico griego utilizando servicios de internet de alta velocidad.<\/p>\n<h3><a id=\"post-171892-_u1ozogd4gpnk\"><\/a><strong>Asia y<\/strong> Ocean\u00eda<\/h3>\n<p>Si bien el grupo realiza escaneos ampliamente en ambos continentes, TGR-STA-1030 parece priorizar sus esfuerzos de reconocimiento contra pa\u00edses en el Mar de China Meridional y las regiones del Golfo de Tailandia. Rutinariamente observamos escaneos de infraestructura gubernamental en Indonesia, Tailandia y Vietnam. Por ejemplo, a principios de noviembre de 2025, observamos conexiones a 31 direcciones IP que alojaban infraestructura gubernamental tailandesa.<\/p>\n<p>Adem\u00e1s, vale la pena se\u00f1alar que los esfuerzos de reconocimiento del grupo a menudo se extienden m\u00e1s all\u00e1 de las conexiones a contenido web en los puertos 80 y 443. En noviembre de 2025, tambi\u00e9n observamos al grupo intentando iniciar conexiones al puerto 22 (SSH) en infraestructura perteneciente a:<\/p>\n<ul>\n<li>El Departamento del Tesoro de Australia<\/li>\n<li>El Ministerio de Finanzas de Afganist\u00e1n<\/li>\n<li>La Oficina del Primer Ministro y el Consejo de Ministros de Nepal<\/li>\n<\/ul>\n<p>Adem\u00e1s de las actividades de reconocimiento, evaluamos que el grupo probablemente comprometi\u00f3 entidades gubernamentales y de infraestructura cr\u00edtica en pa\u00edses como Afganist\u00e1n, Bangladesh, India, Indonesia, Jap\u00f3n, Malasia, Mongolia, Pap\u00faa Nueva Guinea, Arabia Saudita, Sri Lanka, Corea del Sur, Taiw\u00e1n, Tailandia, Uzbekist\u00e1n y Vietnam, como se muestra en la Figura 7.<\/p>\n<figure id=\"attachment_171948\" aria-describedby=\"caption-attachment-171948\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171948 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-21700-171892-7.png\" alt=\"Mapa que destaca varios pa\u00edses de Asia y Ocean\u00eda en naranja, incluidos China, India, Indonesia y Australia.\" width=\"1000\" height=\"916\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-21700-171892-7.png 1120w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-21700-171892-7-480x440.png 480w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-21700-171892-7-764x700.png 764w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-21700-171892-7-768x704.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171948\" class=\"wp-caption-text\">Figura 7. Ubicaciones de las entidades afectadas en Asia y Ocean\u00eda.<\/figcaption><\/figure>\n<h4><a id=\"post-171892-_54h8vqzmszp\"><\/a>Indonesia<\/h4>\n<p>En marzo de 2024, Indonesia se comprometi\u00f3 a aumentar ciertos esfuerzos de coordinaci\u00f3n antiterrorista. A mediados de 2025, el grupo comprometi\u00f3 a una entidad de aplicaci\u00f3n de la ley indonesia.<\/p>\n<p>Evaluamos que el grupo tambi\u00e9n comprometi\u00f3 infraestructura asociada con un funcionario del gobierno indonesio. Esta actividad podr\u00eda haber estado asociada con la extracci\u00f3n de recursos naturales de la provincia de Pap\u00faa. Encontramos que el funcionario ten\u00eda la tarea de supervisar el desarrollo en la provincia y la inversi\u00f3n extranjera en el sector minero.<\/p>\n<p>El grupo tambi\u00e9n comprometi\u00f3 una aerol\u00ednea indonesia. La infraestructura comprometida se geolocaliza en instalaciones en el Aeropuerto Internacional Soekarno-Hatta como se muestra en la Figura 8. La aerol\u00ednea hab\u00eda estado en conversaciones con un fabricante aeroespacial de EE. UU. para comprar nuevos aviones como parte de sus planes de crecimiento estrat\u00e9gico. Al mismo tiempo, un inter\u00e9s competidor estaba promoviendo activamente aviones de un fabricante con sede en el Sudeste Asi\u00e1tico.<\/p>\n<figure id=\"attachment_171959\" aria-describedby=\"caption-attachment-171959\" style=\"width: 400px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171959 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-23825-171892-8.png\" alt=\"Vista de mapa centrada en el Aeropuerto Internacional Soekarno\u2013Hatta con las terminales etiquetadas y un marcador rojo que indica una ubicaci\u00f3n espec\u00edfica dentro del \u00e1rea.\" width=\"400\" height=\"454\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-23825-171892-8.png 501w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-23825-171892-8-387x440.png 387w\" sizes=\"(max-width: 400px) 100vw, 400px\" \/><figcaption id=\"caption-attachment-171959\" class=\"wp-caption-text\">Figura 8. Datos de geolocalizaci\u00f3n para la direcci\u00f3n IP comprometida.<\/figcaption><\/figure>\n<h4><a id=\"post-171892-_pzlxr0vmih4g\"><\/a>Malasia<\/h4>\n<p>Evaluamos que el grupo comprometi\u00f3 m\u00faltiples departamentos y ministerios del gobierno de Malasia. Usando este acceso, el grupo busc\u00f3 extraer datos de inteligencia econ\u00f3mica y de inmigraci\u00f3n.<\/p>\n<p>Adem\u00e1s, evaluamos que el grupo comprometi\u00f3 una gran entidad financiera privada en Malasia que proporciona microcr\u00e9ditos en apoyo de hogares de bajos ingresos y peque\u00f1as empresas.<\/p>\n<h4><a id=\"post-171892-_4y6f3p14wcpn\"><\/a>Mongolia<\/h4>\n<p>El grupo comprometi\u00f3 a una entidad de aplicaci\u00f3n de la ley de Mongolia el 15 de septiembre de 2025. Poco despu\u00e9s, el Ministro de Justicia y Asuntos Internos de Mongolia se reuni\u00f3 con una contraparte de una naci\u00f3n asi\u00e1tica. Tras la reuni\u00f3n, ambos pa\u00edses se\u00f1alaron la intenci\u00f3n de ampliar la cooperaci\u00f3n para combatir el crimen transnacional.<\/p>\n<p>Dado el momento, evaluamos que esta actividad probablemente estuvo asociada con la recopilaci\u00f3n de inteligencia en apoyo de la reuni\u00f3n inicial y las discusiones de cooperaci\u00f3n en curso.<\/p>\n<h4><a id=\"post-171892-_f0bn82qka6vs\"><\/a>Taiw\u00e1n<\/h4>\n<p>A principios de 2025, el grupo comprometi\u00f3 a un importante proveedor en la industria de equipos de energ\u00eda de Taiw\u00e1n. Con este acceso, creemos que el grupo pudo acceder a archivos comerciales y directorios relacionados con proyectos de generaci\u00f3n de energ\u00eda en todo Taiw\u00e1n. Adem\u00e1s, evaluamos que a mediados de diciembre de 2025, el grupo recuper\u00f3 el acceso a esta red.<\/p>\n<h4><a id=\"post-171892-_edzftyev4uws\"><\/a>Tailandia<\/h4>\n<p>Evaluamos que el 5 de noviembre de 2025, el grupo comprometi\u00f3 un departamento gubernamental tailand\u00e9s donde probablemente busc\u00f3 inteligencia econ\u00f3mica y de comercio internacional. El momento de esta actividad se superpone con el esfuerzo del gobierno para expandir las relaciones diplom\u00e1ticas con las naciones vecinas. Como tal, evaluamos que la actividad fue probablemente recopilaci\u00f3n de inteligencia en apoyo de la visita y futuras discusiones de cooperaci\u00f3n.<\/p>\n<h3><a id=\"post-171892-_rqammtz0tu63\"><\/a>\u00c1frica<\/h3>\n<p>Es nuestra observaci\u00f3n que cuando se trata de naciones africanas, el enfoque del grupo permanece dividido entre intereses militares y el avance de intereses econ\u00f3micos, espec\u00edficamente esfuerzos mineros.<\/p>\n<p>Evaluamos que el grupo probablemente comprometi\u00f3 entidades gubernamentales y de infraestructura cr\u00edtica en pa\u00edses de la Rep\u00fablica Democr\u00e1tica del Congo, Yibuti, Etiop\u00eda, Namibia, N\u00edger, Nigeria y Zambia, como se muestra en la Figura 9:<\/p>\n<figure id=\"attachment_171970\" aria-describedby=\"caption-attachment-171970\" style=\"width: 626px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171970 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-26056-171892-9.png\" alt=\"Mapa de \u00c1frica con varios pa\u00edses sombreados en naranja para representar el recuento de datos.\" width=\"626\" height=\"643\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-26056-171892-9.png 626w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-26056-171892-9-428x440.png 428w\" sizes=\"(max-width: 626px) 100vw, 626px\" \/><figcaption id=\"caption-attachment-171970\" class=\"wp-caption-text\">Figura 9. Ubicaciones de las entidades afectadas en \u00c1frica.<\/figcaption><\/figure>\n<h4><a id=\"post-171892-_s18jrm5kd7p\"><\/a>Rep\u00fablica Democr\u00e1tica del Congo (RDC)<\/h4>\n<p><a id=\"post-171892-_17cerabatweq\"><\/a>Evaluamos que en diciembre de 2025, el grupo comprometi\u00f3 un ministerio gubernamental en este pa\u00eds. Encontramos que a principios de a\u00f1o, una empresa minera asi\u00e1tica fue responsable de un derrame de \u00e1cido que caus\u00f3 impactos significativos en un r\u00edo en la vecina Zambia. En noviembre de 2025, un segundo derrame por otra empresa asi\u00e1tica impact\u00f3 las v\u00edas fluviales alrededor de Lubumbashi, la segunda ciudad m\u00e1s grande de la RDC. Este evento llev\u00f3 a las autoridades a suspender las operaciones mineras para una subsidiaria de Zhejiang Huayou Cobalt Co. Dado el momento y el enfoque \u00fanico del grupo en las operaciones mineras, evaluamos que la actividad podr\u00eda estar relacionada con esta situaci\u00f3n minera.<\/p>\n<h4><a id=\"post-171892-_ust80ki1uga9\"><\/a>Yibuti<\/h4>\n<p>Varias naciones mantienen bases militares en Yibuti. Estas bases permiten combatir la pirater\u00eda en alta mar, as\u00ed como otras funciones de log\u00edstica y defensa regional a trav\u00e9s del Mar Ar\u00e1bigo, el Golfo P\u00e9rsico y el Oc\u00e9ano \u00cdndico.<\/p>\n<p>A mediados de noviembre, un nuevo Grupo de Escolta Naval de una de las naciones asumi\u00f3 responsabilidades en la regi\u00f3n. Durante su debut operativo, el grupo escolt\u00f3 a un granelero registrado en Panam\u00e1 llamado Nasco Gem que transporta carga como carb\u00f3n y mineral. En el contexto de la actividad cibern\u00e9tica, esto podr\u00eda estar relacionado con los objetivos en el sector minero que observamos de TGR-STA-1030.<\/p>\n<p>Evaluamos que a fines de octubre de 2025, el grupo obtuvo acceso a una red gubernamental de Yibuti. Dado el momento de la actividad, creemos que podr\u00eda estar asociada con la recopilaci\u00f3n de inteligencia en apoyo de las operaciones de traspaso naval.<\/p>\n<h4>Zambia<\/h4>\n<p>Evaluamos que el grupo comprometi\u00f3 una red gubernamental de Zambia en 2025. Esta actividad probablemente est\u00e9 asociada con la situaci\u00f3n de Sino-Metals Leach Zambia.<\/p>\n<p>En febrero, una presa que conten\u00eda desechos de una operaci\u00f3n minera asi\u00e1tica colaps\u00f3 y contamin\u00f3 un r\u00edo importante con cianuro y ars\u00e9nico. La situaci\u00f3n y los esfuerzos de limpieza asociados siguen siendo un punto de discordia pol\u00edtica.<\/p>\n<h2><a id=\"post-171892-_g1c5aqh6o7ke\"><\/a>Conclusi\u00f3n<\/h2>\n<p>TGR-STA-1030 sigue siendo una amenaza activa para el gobierno y la infraestructura cr\u00edtica en todo el mundo. El grupo ataca principalmente a ministerios y departamentos gubernamentales con fines de espionaje. Evaluamos que prioriza sus esfuerzos contra pa\u00edses que han establecido o est\u00e1n explorando ciertas asociaciones econ\u00f3micas.<\/p>\n<p>Durante el \u00faltimo a\u00f1o, este grupo ha comprometido a organizaciones gubernamentales y de infraestructura cr\u00edtica en 37 pa\u00edses. Dada la escala del compromiso y la importancia de las entidades gubernamentales afectadas, estamos trabajando con colegas de la industria y socios gubernamentales para crear conciencia sobre la amenaza e interrumpir esta actividad.<\/p>\n<p>Alentamos a los defensores de redes e investigadores de seguridad a aprovechar los indicadores de compromiso (IoCs) proporcionados a continuaci\u00f3n para investigar y desplegar defensas contra este grupo.<\/p>\n<h3>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra las amenazas discutidas anteriormente a trav\u00e9s de los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifican URLs y dominios conocidos asociados con esta actividad como maliciosos.<\/li>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced WildFire<\/a> han sido revisados y actualizados a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> est\u00e1 dise\u00f1ado para defender las redes contra amenazas comunes y amenazas dirigidas.<\/li>\n<li><span style=\"font-weight: 400;\"><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> ayudan a proteger contra las amenazas descritas en este blog mediante el uso del Motor de <\/span><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">Prevenci\u00f3n de Malware<\/a><b>.<\/b><span style=\"font-weight: 400;\"> Este enfoque combina varias capas de protecci\u00f3n, incluyendo <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/span><span style=\"font-weight: 400;\">, Protecci\u00f3n contra Amenazas Comportamentales y el m\u00f3dulo de An\u00e1lisis Local, dise\u00f1ados para evitar que tanto el malware conocido como el desconocido causen da\u00f1os en los endpoints.<\/span><\/li>\n<\/ul>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de Unit 42<\/a> o llame al:<\/p>\n<ul>\n<li>Am\u00e9rica del Norte: L\u00ednea gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Medio Oriente: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 000 800 050 45107<\/li>\n<li>Corea del Sur: +82.080.467.8774<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos hallazgos con nuestros miembros compa\u00f1eros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para desplegar r\u00e1pidamente protecciones para sus clientes e interrumpir sistem\u00e1ticamente a los actores cibern\u00e9ticos maliciosos. Conozca m\u00e1s sobre la<a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<h2>Indicadores de compromiso<\/h2>\n<h3>Direcciones<strong> IP<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138.197.44[.]208<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">142.91.105[.]172<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">146.190.152[.]219<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.230.34[.]45<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.245.194[.]54<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.65.156[.]200<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.203.164[.]101<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">178.128.60[.]22<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">178.128.109[.]37<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.127.251[.]171<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.166.210[.]146<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">208.85.21[.]30<\/span><\/li>\n<\/ul>\n<h3>Dominios<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">abwxjp5[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">brackusi0n[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dog3rj[.]tech<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">emezonhe[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msonline[.]help<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pickupweb[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pr0fu5a[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">q74vn[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">servgate[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zamstats[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zrheblirsy[.]me<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171892-_o84fanhmmj49\"><\/a>SHA256 de Phishing\/Descargador<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">66ec547b97072828534d43022d766e06c17fc1cafe47fbd9d1ffc22e2d52a9c0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">23ee251df3f9c46661b33061035e9f6291894ebe070497ff9365d6ef2966f7fe<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171892-_9wmzo2p4zf44\"><\/a>SHA256 de Cobalt Strike<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5175b1720fe3bc568f7857b72b960260ad3982f41366ce3372c04424396df6fe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">358ca77ccc4a979ed3337aad3a8ff7228da8246eebc69e64189f930b325daf6a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">293821e049387d48397454d39233a5a67d0ae06d59b7e5474e8ae557b0fc5b06<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c876e6c074333d700adf6b4397d9303860de17b01baa27c0fa5135e2692d3d6f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b2a6c8382ec37ef15637578c6695cb35138ceab42ce4629b025fa4f04015eaf2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5ddeff4028ec407ffdaa6c503dd4f82fa294799d284b986e1f4181f49d18c9f3<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">182a427cc9ec22ed22438126a48f1a6cd84bf90fddb6517973bcb0bac58c4231<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171892-_5dv6ivgi65ae\"><\/a>SHA256 de ShadowGuard<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7808b1e01ea790548b472026ac783c73a033bb90bbe548bf3006abfbcb48c52d<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171892-_y960htgrwpqw\"><\/a>SHA256 del exploit CVE-2019-11580<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9ed487498235f289a960a5cc794fa0ad0f9ef5c074860fea650e88c525da0ab4<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>En 2025, un grupo de amenazas comprometi\u00f3 a gobiernos e infraestructuras cr\u00edticas en 37 pa\u00edses, realizando reconocimiento en 155.<\/p>\n","protected":false},"author":23,"featured_media":171573,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8802,8829],"tags":[9833,9917,9242,9918],"product_categories":[8922,8923,8924,8925,8921,8932,8934,8935,8890],"coauthors":[1025],"class_list":["post-171892","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nation-state-cyberattacks-es-la","category-threat-actor-groups-es-la","tag-espionage-es-la","tag-government","tag-phishing-es-la","tag-tgr-sta-1030","product_categories-advanced-dns-security-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global<\/title>\n<meta name=\"description\" content=\"En 2025, un grupo de amenazas comprometi\u00f3 a gobiernos e infraestructuras cr\u00edticas en 37 pa\u00edses, realizando reconocimiento en 155.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global\" \/>\n<meta property=\"og:description\" content=\"En 2025, un grupo de amenazas comprometi\u00f3 a gobiernos e infraestructuras cr\u00edticas en 37 pa\u00edses, realizando reconocimiento en 155.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-05T11:00:15+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-06T14:15:20+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global","description":"En 2025, un grupo de amenazas comprometi\u00f3 a gobiernos e infraestructuras cr\u00edticas en 37 pa\u00edses, realizando reconocimiento en 155.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/","og_locale":"es_LA","og_type":"article","og_title":"Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global","og_description":"En 2025, un grupo de amenazas comprometi\u00f3 a gobiernos e infraestructuras cr\u00edticas en 37 pa\u00edses, realizando reconocimiento en 155.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/","og_site_name":"Unit 42","article_published_time":"2026-02-05T11:00:15+00:00","article_modified_time":"2026-02-06T14:15:20+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global","datePublished":"2026-02-05T11:00:15+00:00","dateModified":"2026-02-06T14:15:20+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/"},"wordCount":6384,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","keywords":["Espionage","Government","phishing","TGR-STA-1030"],"articleSection":["Ciberataques de estado-naci\u00f3n","Grupos de actores de amenazas"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/","name":"Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","datePublished":"2026-02-05T11:00:15+00:00","dateModified":"2026-02-06T14:15:20+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"En 2025, un grupo de amenazas comprometi\u00f3 a gobiernos e infraestructuras cr\u00edticas en 37 pa\u00edses, realizando reconocimiento en 155.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of the shadow campaigns. Digital graphic showing a networked globe with various data points and connectivity lines, symbolizing global digital communication and information technology."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/shadow-campaigns-uncovering-global-espionage\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Las Campa\u00f1as de la Sombra: Al Descubierto el Espionaje Global"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/24dfba25c0e71d4de1836b78795bc2e5","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/171892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=171892"}],"version-history":[{"count":6,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/171892\/revisions"}],"predecessor-version":[{"id":171989,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/171892\/revisions\/171989"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/171573"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=171892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=171892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=171892"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=171892"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=171892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}