Kaspersky advierte que PassiveNeuron ha retomado su actividad, poniendo en riesgo servidores Windows y sistemas esenciales en la región y otras partes del mundo.
El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificó una campaña de ciberespionaje en curso, denominada PassiveNeuron, dirigida a organizaciones gubernamentales, financieras e industriales de América Latina, así como a otras ubicadas en Asia y África.
La actividad maliciosa, observada por primera vez en diciembre de 2024 y activa hasta agosto de 2025, demuestra un interés sostenido de los atacantes por comprometer infraestructuras críticas en la región.
Tras un período de seis meses de inactividad, PassiveNeuron ha retomado sus operaciones con fuerza, empleando tres herramientas principales —dos de ellas previamente desconocidas— para infiltrarse y mantener acceso persistente en redes comprometidas:
- Neursite, una puerta trasera modular.
- NeuralExecutor, un implante basado en .NET.
- Cobalt Strike, un marco de pruebas de penetración utilizado con frecuencia por actores de amenazas.
Neursite permite a los atacantes obtener información sobre los sistemas afectados y desplazarse dentro de las redes comprometidas. En algunos casos, se detectó comunicación entre equipos infectados y servidores externos controlados por los atacantes.
Por su parte, NeuralExecutor descarga y ejecuta instrucciones o archivos adicionales enviados de forma remota, lo que aumenta su capacidad de adaptación y control.
“PassiveNeuron destaca por su enfoque en comprometer servidores, que a menudo son la columna vertebral de las redes organizacionales”, explicó Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky. “Los servidores expuestos a Internet son objetivos especialmente atractivos para los grupos de amenazas persistentes avanzadas (APT), ya que un solo host comprometido puede otorgar acceso a sistemas críticos”.
Durante el análisis, el equipo de GReAT encontró fragmentos de código con caracteres cirílicos, aparentemente insertados como falsas banderas (false flags) para confundir la atribución del ataque. A partir de las tácticas observadas, Kaspersky considera con bajo nivel de confianza que la operación podría estar vinculada a un actor de amenazas de habla china.
Estos ataques representan un riesgo significativo, ya que los servidores comprometidos pueden usarse para acceder a información confidencial, alterar procesos internos o interrumpir operaciones críticas.
Las recomendaciones de Kaspersky para prevenir ataques de este tipo incluyen:
- Refuerzo de la protección de servidores y redes internas.
- Colaboración entre áreas técnicas y de gestión.
- Formación y conciencia en seguridad entre empleados.
- Incorporar inteligencia de amenazas para anticipar ataques.
Más información está disponible en el informe técnico publicado en Securelist.com y en el blog de Kaspersky.
