La compañía detectó herramientas capaces de monitorear la actividad de los usuarios, robar credenciales y extraer información estratégica sin generar alertas visibles.
Kaspersky reveló el descubrimiento de nuevas campañas de ciberespionaje vinculadas al grupo avanzado de amenazas persistentes (APT) conocido como HoneyMyte, que ha perfeccionado sus herramientas para vigilar, robar información y operar de forma casi invisible dentro de redes corporativas, especialmente en entidades gubernamentales y organizaciones estratégicas.
De acuerdo con investigadores del Equipo Global de Investigación y Análisis de Kaspersky (GReAT), el grupo fortaleció su principal herramienta maliciosa, conocida como CoolClient, incorporándole nuevas capacidades que permiten observar con mayor detalle la actividad de los usuarios dentro de los sistemas comprometidos. Entre las mejoras más relevantes se incluyen capacidades de monitoreo del portapapeles y seguimiento de las aplicaciones en uso. Estas funciones permiten recopilar información clave, como los títulos de las ventanas activas, los procesos asociados y la fecha y hora, lo que posibilita reconstruir con precisión la actividad del usuario y el contexto en el que maneja información sensible en su equipo.
Además, los expertos detectaron que CoolClient ahora puede robar credenciales de proxies de red, un tipo de información crítica que suele utilizarse para controlar el acceso a internet en empresas y organismos. Esta técnica, nunca antes observada en el malware de HoneyMyte, amplía significativamente la capacidad del grupo para moverse dentro de redes corporativas sin ser detectado.
Las investigaciones también muestran que CoolClient suele instalarse como backdoor, acompañando a otras variantes de malware conocidos como PlugX y LuminousMoth. Para ejecutar sus ataques, el grupo aprovecha un método que utiliza archivos legítimos y firmados digitalmente, lo que dificulta que las soluciones de seguridad tradicionales detecten la amenaza. Entre 2021 y 2025, HoneyMyte abusó de programas auténticos de distintos fabricantes, y en las campañas más recientes utilizó una aplicación firmada de un proveedor de software empresarial.
En paralelo, los atacantes emplearon scripts automatizados para recopilar información del sistema, extraer documentos internos y robar credenciales almacenadas en navegadores web. Durante la fase posterior al ataque, también se identificó una nueva versión de malware diseñada específicamente para robar contraseñas de Google Chrome, con similitudes técnicas a herramientas usadas en campañas previas de espionaje.
Este tipo de ataques representa un riesgo significativo para las organizaciones porque no busca causar un daño inmediato o visible, sino permanecer oculto durante largos periodos, observando el comportamiento de empleados, recolectando información estratégica y extrayendo datos de forma gradual. Al usar herramientas legítimas y técnicas silenciosas, los atacantes pueden evadir controles básicos de seguridad y operar desde dentro como si fueran usuarios autorizados.
“Lo más preocupante de estas campañas no es solo lo técnico, sino también el cambio de enfoque en la forma de espiar. Estamos viendo ataques diseñados para observar silenciosamente cómo trabajan las personas dentro de una organización: qué aplicaciones usan, qué información copian, qué credenciales manejan y cómo se mueven dentro de la red. Esto convierte a los empleados y a sus hábitos digitales en una fuente constante de inteligencia para los atacantes. Para las empresas, el riesgo ya no se limita a una filtración puntual, sino a la pérdida progresiva de información estratégica, credenciales y contexto operativo, muchas veces sin señales evidentes de intrusión”, asegura Leandro Cuozzo, Analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.