Lima, octubre de 2025.- Una campaña activa de ciberespionaje denominada PassiveNeuron está intentando infiltrarse en redes corporativas y gubernamentales de América Latina, comprometiendo servidores Windows y sistemas esenciales. La operación, detectada por el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky, también tiene como objetivo a organizaciones en Asia y África, lo que refleja su alcance internacional y su riesgo potencial para infraestructuras críticas.
PassiveNeuron fue observada por primera vez en diciembre de 2024 y continuó activa hasta agosto de 2025. Tras un periodo de inactividad de seis meses, los atacantes han retomado su actividad con nuevos recursos y una estrategia más compleja orientada a eludir defensas y mantener acceso prolongado a las redes comprometidas.
El grupo emplea tres herramientas principales, dos de ellas inéditas para los analistas. Neursite funciona como una puerta trasera modular diseñada para recopilar información interna y permitir el desplazamiento lateral dentro de las redes afectadas. Los investigadores identificaron casos en los que esta herramienta se comunicó con servidores controlados por los atacantes, pero también con otros equipos internos ya comprometidos, lo que amplía su capacidad de infiltración.
La segunda herramienta, NeuralExecutor, es un implante basado en .NET preparado para descargar y ejecutar comandos o archivos adicionales enviados de forma remota. Esta característica le otorga una gran flexibilidad, ya que puede adaptarse a distintos entornos y ampliar su alcance según la evolución del ataque.
Finalmente, los responsables de PassiveNeuron han recurrido a Cobalt Strike, un software legítimo utilizado para pruebas de penetración que suele ser explotado por actores maliciosos para operar dentro de las redes sin levantar sospechas.
“PassiveNeuron destaca por su enfoque en comprometer servidores, que suelen ser la columna vertebral de las redes organizacionales”, afirmó Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky. Explicó que los servidores expuestos a Internet representan un punto crítico para los grupos de amenazas persistentes avanzadas, ya que comprometer uno solo puede habilitar acceso a recursos internos de alto valor. Por ello, insistió en la necesidad de reducir la superficie de ataque y monitorear continuamente las aplicaciones de servidor.
El análisis también identificó elementos de engaño dentro del código malicioso. Algunas funciones incluían caracteres cirílicos agregados aparentemente de forma intencional, una táctica conocida como falsa bandera destinada a confundir a los analistas y dificultar la atribución real del ataque. Pese a la complejidad de la operación, Kaspersky considera con bajo nivel de confianza que podría estar vinculada a un actor de amenazas de habla china, debido a patrones observados con anterioridad.
PassiveNeuron representa un riesgo significativo para entidades públicas y privadas. Un servidor comprometido puede actuar como puerta de entrada a datos confidenciales, favorecer la alteración de procesos internos o interrumpir servicios esenciales. El impacto puede extenderse hacia socios y clientes, multiplicando daños operativos, financieros y reputacionales. “Un compromiso de este tipo permite a los atacantes moverse lateralmente, instalar nuevas herramientas maliciosas y mantener el control durante largos periodos sin ser detectados”, añadió Assolini.
Para enfrentar este tipo de ataques dirigidos, Kaspersky recomienda mantener los sistemas actualizados y reforzar controles de acceso, especialmente en equipos expuestos a Internet. También subraya la importancia de la colaboración entre áreas técnicas y de gestión para crear una cultura de seguridad transversal. La falta de capacitación sigue siendo un factor de riesgo. Muchos incidentes comienzan con un correo de phishing o una técnica de ingeniería social exitosa, por lo que es clave entrenar al personal para reconocer señales de alerta en correos, enlaces o archivos adjuntos.
El fortalecimiento de la inteligencia de amenazas es otra de las recomendaciones centrales. Contar con información validada sobre actores, tácticas y herramientas empleadas en ataques reales permite anticipar riesgos y afinar la defensa antes de que se produzcan incidentes. La inteligencia de Kaspersky reúne datos globales y análisis especializados para que los equipos de seguridad tomen decisiones informadas y prioricen de forma correcta.
Kaspersky señala que, si PassiveNeuron continúa evolucionando, su capacidad para infiltrar redes esenciales y operar sin ser detectada podría ampliarse aún más. Las organizaciones deben estar preparadas para enfrentar un entorno de amenazas en constante cambio, donde la prevención y la detección temprana se vuelven esenciales para proteger su infraestructura y la confianza del público.