La compañía detectó herramientas capaces de monitorear la actividad de los usuarios, robar credenciales y extraer información estratégica sin generar alertas visibles.

Kaspersky reveló el descubrimiento de nuevas campañas de ciberespionaje vinculadas al grupo avanzado de amenazas persistentes (APT) conocido como HoneyMyte. Que ha perfeccionado sus herramientas para vigilar, robar información y operar de forma casi invisible dentro de redes corporativas. Especialmente en entidades gubernamentales y organizaciones estratégicas.

De acuerdo con investigadores del Equipo Global de Investigación y Análisis de Kaspersky (GReAT). El grupo fortaleció su principal herramienta maliciosa, conocida como CoolClient. Incorporándole nuevas capacidades que permiten observar con mayor detalle la actividad de los usuarios dentro de los sistemas comprometidos.

Entre las mejoras más relevantes se incluyen capacidades de monitoreo del portapapeles y seguimiento de las aplicaciones en uso. Estas funciones permiten recopilar información clave. Como los títulos de las ventanas activas, los procesos asociados y la fecha y hora. Lo que posibilita reconstruir con precisión la actividad del usuario y el contexto en el que maneja información sensible en su equipo.

Además, los expertos detectaron que CoolClient ahora puede robar credenciales de proxies de red. Un tipo de información crítica que suele utilizarse para controlar el acceso a internet en empresas y organismos.

Esta técnica, nunca antes observada en el malware de HoneyMyte. Amplía significativamente la capacidad del grupo para moverse dentro de redes corporativas sin ser detectado.

Las investigaciones también muestran que CoolClient suele instalarse como backdoor. Acompañando a otras variantes de malware conocidos como PlugX y LuminousMoth. Para ejecutar sus ataques, el grupo aprovecha un método que utiliza archivos legítimos y firmados digitalmente. Lo que dificulta que las soluciones de seguridad tradicionales detecten la amenaza.

Entre 2021 y 2025, HoneyMyte abusó de programas auténticos de distintos fabricantes. Y en las campañas más recientes utilizó una aplicación firmada de un proveedor de software empresarial.

En paralelo, los atacantes emplearon scripts automatizados para recopilar información del sistema, extraer documentos internos y robar credenciales almacenadas en navegadores web.

Durante la fase posterior al ataque, también se identificó una nueva versión de malware diseñada específicamente para robar contraseñas de Google Chrome. Con similitudes técnicas a herramientas usadas en campañas previas de espionaje.

Este tipo de ataques representa un riesgo significativo para las organizaciones porque no busca causar un daño inmediato o visible. Sino permanecer oculto durante largos periodos. Observando el comportamiento de empleados, recolectando información estratégica y extrayendo datos de forma gradual. Al usar herramientas legítimas y técnicas silenciosas, los atacantes pueden evadir controles básicos de seguridad y operar desde dentro como si fueran usuarios autorizados.

Asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky, que:

“Lo más preocupante de estas campañas no es solo lo técnico. Sino también el cambio de enfoque en la forma de espiar. Estamos viendo ataques diseñados para observar silenciosamente cómo trabajan las personas dentro de una organización. Qué aplicaciones usan, qué información copian, qué credenciales manejan y cómo se mueven dentro de la red”.

“Esto convierte a los empleados y a sus hábitos digitales en una fuente constante de inteligencia para los atacantes. Para las empresas, el riesgo ya no se limita a una filtración puntual, sino a la pérdida progresiva de información estratégica, credenciales y contexto operativo, muchas veces sin señales evidentes de intrusión”. Agrega

Para mantenerse protegidas frente a HoneyMyte y otros APT. Se recomienda a las organizaciones seguir estas buenas prácticas:

• Mantener una vigilancia constante frente a señales de espionaje digital. Como comportamientos inusuales en los equipos, accesos inesperados a información sensible, uso de programas legítimos fuera de lo normal o movimientos de datos que no corresponden a las tareas habituales de los empleados. Ya que estos ataques buscan operar de forma silenciosa durante largos periodos.

• Verificar qué programas y archivos están autorizados para ejecutarse en la organización. Ya que muchos ataques avanzados ingresan usando software aparentemente legítimo que no debería estar activo en los equipos o servidores.

• Implementar soluciones de la línea Kaspersky Next. Que permiten detectar actividades anómalas en tiempo real, entender qué está ocurriendo dentro de la red y responder rápidamente antes de que la información crítica sea comprometida.

• Apoyarse en servicios de seguridad gestionada como Managed Detection and Response (MDR) o Incident Response. Que ayudan a investigar ataques complejos, contenerlos a tiempo y aportar experiencia especializada cuando la organización no cuenta con equipos de ciberseguridad suficientes.

• Fortalecer la toma de decisiones con Inteligencia de Amenazas. Que ofrece contexto claro sobre las amenazas activas y permite anticiparse a riesgos antes de que se conviertan en incidentes graves.

Si deseas conocer el informe completo sobre HoneyMyte, puedes encontrarlo en Securelist.