Una nueva operación de ciberespionaje, bautizada como PassiveNeuron, ha encendido las alertas en el mundo de la ciberseguridad. Según un informe de Kaspersky, esta campaña ha estado activa en regiones de Asia, África y América Latina, y está dirigida a organizaciones gubernamentales, financieras e industriales. Su objetivo: infiltrarse en redes corporativas mediante técnicas avanzadas y malware nunca antes visto.
El primer rastro de PassiveNeuron apareció en noviembre de 2024, cuando Kaspersky identificó ataques contra entidades gubernamentales en América Latina y Asia oriental. Los investigadores detectaron el uso de dos familias de malware nuevas, denominadas Neursite y NeuralExecutor, que demostraban una capacidad poco común para ocultarse y adaptarse al entorno de las víctimas.
Lo que hace especialmente peligrosa esta campaña es su nivel de sigilo. Los atacantes aprovecharon servidores internos previamente comprometidos para establecer su infraestructura de comando y control (C2), lo que les permitió pasar desapercibidos durante meses.
“El atacante logra moverse lateralmente dentro de la infraestructura y extraer información, incluso desde equipos aislados de internet”, explicó Kaspersky.
“El uso de un sistema modular permite adaptar cada ataque a las necesidades del grupo”.
Este enfoque, típico de grupos de amenazas persistentes avanzadas (APT), indica que detrás de PassiveNeuron hay recursos considerables y una estrategia bien planificada.
Desde diciembre de 2024 hasta agosto de 2025, Kaspersky ha registrado una nueva oleada de infecciones relacionadas con esta operación. Aunque todavía no se ha atribuido oficialmente a ningún grupo, algunos indicios apuntan a actores de habla china.
En uno de los casos analizados, los atacantes lograron ejecutar comandos remotos en un servidor Windows mediante Microsoft SQL Server. Aún no está claro cómo obtuvieron acceso, pero los expertos consideran tres posibles vías:
Tras conseguir el acceso inicial, los atacantes intentaron desplegar una web shell ASPX, una herramienta que les permite ejecutar órdenes desde un navegador web. Al fallar, recurrieron a un método más avanzado: implantes distribuidos en la carpeta del sistema, cargados mediante DLLs maliciosas.
Lee más: Campaña de Ciberespionaje 'Sea Turtle': Lo que Necesitas Saber
El análisis de Kaspersky reveló el uso de tres herramientas principales:
Neursite utiliza configuraciones internas para conectarse con sus servidores de control a través de protocolos seguros (SSL/HTTPS) y puede operar incluso en redes desconectadas de internet. Además, tiene una arquitectura basada en plugins, lo que le permite descargar nuevos módulos para ejecutar comandos, manipular archivos o abrir conexiones TCP.
Por su parte, NeuralExecutor ha evolucionado desde 2024. En sus primeras versiones, obtenía la dirección del servidor C2 directamente del código. Sin embargo, las versiones más recientes consultan un repositorio en GitHub para obtener las nuevas direcciones, aprovechando esta plataforma legítima como una suerte de “centro de control oculto”.
Una característica distintiva de PassiveNeuron es que se centra en servidores expuestos a internet, en lugar de estaciones de trabajo. Estos equipos suelen contener datos críticos o funcionar como puntos de acceso al resto de la red.
“Los servidores son objetivos muy valiosos para los APT”, explican los investigadores de Kaspersky. “Pueden usarse para moverse dentro de la organización, recolectar información o mantener presencia prolongada sin ser detectados”.
Este patrón recuerda a otras campañas de espionaje patrocinadas por estados, donde los atacantes no buscan destruir, sino permanecer invisibles el mayor tiempo posible, extrayendo datos sensibles de manera constante.
Los investigadores destacan que PassiveNeuron no depende de una única vía de comunicación. Su infraestructura C2 puede operar de forma descentralizada, utilizando:
Este modelo hace que sea difícil rastrear o bloquear el tráfico sin afectar operaciones normales. Además, el malware puede crear redes virtuales privadas internas, permitiendo a los atacantes extraer archivos incluso desde máquinas aisladas del internet corporativo.
También podría interesarte: Ciberespionaje a Empresarios, Políticos y Personas de Interés
Los ataques como PassiveNeuron evidencian la importancia de adoptar un enfoque proactivo y segmentado de la ciberseguridad. Desde TecnetOne, recomendamos las siguientes medidas:
El caso PassiveNeuron es solo una muestra del nuevo paradigma del ciberespionaje moderno. Los grupos avanzados ya están combinando técnicas de inteligencia artificial, automatización y manipulación de infraestructura legítima para ocultar sus huellas.
Estas operaciones híbridas son especialmente peligrosas porque mezclan tecnología, ingeniería social y abuso de confianza en sistemas que se consideran seguros.
PassiveNeuron confirma lo que en TecnetOne venimos observando: los ataques ya no se limitan a robar datos, sino que buscan controlar redes enteras desde dentro, usando software legítimo y tácticas invisibles.
El espionaje digital ha dejado de ser un problema exclusivo de los gobiernos. Hoy, cualquier organización con servidores expuestos o datos de valor estratégico puede ser un objetivo.
La defensa ya no depende solo de tecnología, sino de visibilidad, inteligencia y prevención continua. En este nuevo escenario, la ciberresiliencia se construye día a día, anticipando amenazas antes de que toquen tu puerta.