El grupo avanzado de amenazas persistentes digitales conocido como HoneyMyte, fortaleció su herramienta maliciosa de nombre CoolClient, con lo que consiguió elevar sus capacidades para vigilar, robar información y operar de forma casi invisible en redes corporativas, especialmente de gobierno y organizaciones estratégicas.
Según investigaciones realizadas por el Equipo Global de Investigación y Análisis de la empresa de ciberseguridad, Kaspersky, este grupo incorporó nuevas capacidades a su herramienta, “que permiten observar con mayor detalle la actividad de los usuarios dentro de los sistemas comprometidos”.
Ahora la herramienta maliciosa mejoró su capacidad de monitoreo de portapapeles y seguimiento de las aplicaciones en uso para recopilar información clave, como los títulos de las ventanas activas, procesos asociados con fecha y hora, lo que posibilita reconstruir con precisión la actividad del usuario y el contexto en el que maneja información sensible.
De acuerdo con el equipo de Kaspersky, este grupo delictivo puede ahora robar credenciales de proxies de red, un tipo de información crítica que suele utilizarse para controlar el acceso a Internet en empresas y organismos.
Con esta nueva capacidad, el malware puede moverse con mucha mayor libertad dentro de las redes corporativas sin ser detectado.
“CoolClient suele instalarse como puerta trasera, acompañando a otras variantes de malware conocidas como PlugX y LuminousMoth. Para ejecutar sus ataques, el grupo utiliza archivos legítimos y firmados digitalmente, lo que dificulta que las soluciones de seguridad tradicionales detecten la amenaza”, advirtió la firma de ciberseguridad.
El grupo conocido como HoneyMyte, que emplea esta herramienta, tiene historia. Entre 2021 y 2025, abusó de programas auténticos de distintos fabricantes, y en las campañas más recientes utilizó una aplicación firmada de un proveedor de software empresarial.
Los delincuentes también usaron scripts automatizados para recopilar información del sistema, extraer documentos internos y robar credenciales almacenadas en navegadores web.
Durante la fase posterior al ataque, también se identificó una nueva versión de malware diseñada específicamente para robar contraseñas de Google Chrome, con similitudes técnicas y herramientas utilizadas en campañas previas de espionaje.
Este tipo de ataques representa un riesgo significativo para las organizaciones porque no busca causar un daño inmediato o visible, sino permanecer oculto durante largos periodos, observando el comportamiento de los empleados, recolectando información estratégica y extrayendo datos de forma gradual.
Al usar herramientas legítimas y técnicas silenciosas, los atacantes pueden evadir controles básicos de seguridad y operar desde dentro como si fueran usuarios autorizados.
Leandro Cuozzo, analista de seguridad en el Equipo Global de Investigación y Análisis para América Latina de Kaspersky, advirtió que lo más preocupante es el cambio de enfoque en la manera de espiar: los ataques están diseñados para observar a los empleados y detectar sus hábitos, lo que puede llevar a una pérdida progresiva de información estratégica, sin generar señales de infiltración.
Ante este tipo de amenazas, conviene vigilar constantemente posibles señales de espionaje digital, como comportamientos inusuales de los equipos, accesos inesperados a información sensible, uso anormal de programas legítimos que no corresponden con las tareas habituales de los empleados y verificar que los programas y archivos ejecutados, sean previamente autorizados.
También es recomendable apoyar a los sistemas internos de ciberseguridad, con servicios de seguridad gestionada y respuesta inmediata de incidentes, para investigar ataques complejos, contenerlos y apoyar a las organizaciones con experiencia especializada.
C$T-GM
