En las últimas investigaciones de ciberseguridad ha vuelto a ponerse de manifiesto un patrón ya conocido pero en constante refinamiento: organizaciones del ámbito de la defensa y entes alineados con el Gobierno de India están siendo objetivo de campañas de espionaje digital que buscan comprometer tanto equipos Windows como sistemas Linux. Los atacantes emplean herramientas de acceso remoto —conocidas como RATs— que permiten desde la exfiltración de información hasta la permanencia silenciosa en máquinas infectadas durante largos periodos.
Entre las familias de malware señaladas por los analistas aparecen nombres como Geta RAT, Ares RAT y DeskRAT. Estas piezas no operan de forma aislada: se las asocia a clústeres de amenazas con presunta afinidad paquistaní, identificados en la comunidad como Transparent Tribe (también referida como APT36) y SideCopy, esta última evaluada por algunos equipos como una subdivisión que lleva años operando en la misma órbita. Para una lectura técnica y un análisis más profundo, conviene consultar los informes de quien primero publicó estas observaciones y los comentarios de equipos especializados en el blog de Aryaka y otras firmas que siguen a estos actores.
La puerta de entrada preferida sigue siendo la ingeniería social: correos de phishing con adjuntos maliciosos o enlaces a servidores controlados por los atacantes. A partir de ahí se despliegan cadenas de infección construidas en varias etapas que combinan trucos viejos y nuevas adaptaciones. Un ejemplo de cadena observada consiste en un acceso inicial mediante un archivo LNK (acceso directo de Windows) que invoca mshta.exe para ejecutar un archivo HTA alojado en dominios legítimos comprometidos. Ese HTA puede contener JavaScript que desencripta y carga una DLL incrustada; la DLL procesa datos empaquetados, deja en disco un documento señuelo (como un PDF), establece comunicación con un servidor de mando y control (C2) y muestra al usuario el señuelo para evitar levantar sospechas.
Este tipo de sofisticación no es casual. El uso de señuelos que presentan documentos plausibles, la preferencia por infraestructura confiable en la región y la adaptación automática del método de persistencia según la presencia de soluciones de seguridad son recursos que ayudan al actor a operar "por debajo del ruido", reduciendo la probabilidad de detección por parte de administradores y herramientas automáticas. Para ver ejemplos de campañas y análisis técnicos adicionales, hay recursos públicos de equipos de investigación y empresas dedicadas a la ciberseguridad como CYFIRMA o páginas de laboratorios especializados como Seqrite Labs. También el investigador que divulgó cadenas de ataque concretas compartió hallazgos en redes sociales y plataformas técnicas (publicación).
En cuanto a capacidades, Geta RAT expone una larga lista de funciones diseñadas para control remoto y exfiltración: recogida de información del sistema, enumeración de procesos y aplicaciones, terminación de procesos concretos, robo de credenciales, manipulación del portapapeles, captura de pantallas, operaciones sobre archivos, ejecución de comandos arbitrarios y extracción de datos desde dispositivos USB conectados. Es decir, no solo sirve para observar y mover datos, sino también para mantener y ampliar la presencia del atacante en el entorno comprometido.
Paralelamente a la variante orientada a Windows, las campañas también se mueven en Linux. Ahí los adversarios han utilizado binarios escritos en Go como fase inicial para desplegar un RAT en Python —Ares RAT— a través de scripts descargados desde servidores externos. Ares ofrece funcionalidades similares: recolección de datos, ejecución remota de scripts y comandos, y la capacidad de adaptar la operación en función del contexto de la máquina atacada. En otro vector documentado, DeskRAT (otro malware desarrollado en Golang) ha sido distribuido mediante complementos de PowerPoint maliciosos que ejecutan macros para recuperar y lanzar la muestra final desde la red.
El resultado es un ecosistema de herramientas y cadenas de explotación que ponen el acento en la persistencia, la sigilosidad y la cobertura multiplataforma. Los informes publicados por varios laboratorios de seguridad muestran cómo estas familias y técnicas han evolucionado: desde la reutilización de infraestructuras comprometidas hasta la apuesta por cargas en memoria y ejecuciones indirectas que dificultan su trazabilidad. Para profundizar en la técnica y correlacionar indicadores de compromiso conviene revisar fuentes especializadas y bases de conocimiento públicas sobre tácticas y procedimientos, como las que ofrece el marco ATT&CK de MITRE en su portal.
¿Qué lecciones deja este patrón para organizaciones y responsables de seguridad? En primer lugar, que la superficie de ataque sigue siendo humana: la formación dirigida a reconocer señuelos creíbles y la verificación de remitentes deben ser prioridad. En segundo lugar, las defensas técnicas requieren una combinación de medidas: filtrar y bloquear adjuntos sospechosos (especialmente LNK, HTA y macros en documentos), limitar el uso de herramientas del sistema que se prestan a ejecución indirecta (como mshta.exe), desplegar soluciones EDR/AV que detecten comportamientos anómalos, y monitorizar el tráfico saliente en busca de conexiones C2 atípicas. Las entidades públicas competentes y los equipos de respuesta a incidentes disponen de guías y alertas que ayudan a implementar mitigaciones concretas; entre los recursos útiles están los portales de equipos de respuesta y organismos nacionales e internacionales dedicados a la ciberseguridad como CISA o el CERT-In de India.
No es solo una cuestión técnica: cuando la actividad está alineada con intereses geoestratégicos, la amenaza se focaliza en sectores muy concretos y los atacantes invierten en perfeccionar señuelos y en mantener acceso a largo plazo. Por eso la respuesta también debe ser estratégica y sostenida: compartir inteligencia entre entidades, coordinar bloqueos de infraestructura maliciosa y realizar auditorías constantes de sistemas críticos. Informes y análisis colectivos —tanto de empresas privadas como de laboratorios académicos— permiten mapear mejor al adversario y anticipar su siguiente movimiento; en este sentido, los análisis de firmas y laboratorios especializados son lectura recomendada para responsables técnicos y decisores.
En resumen, las campañas que han expuesto Geta RAT, Ares RAT y DeskRAT recuerdan que la ciberespionaje sigue siendo una amenaza viva y adaptable. Las herramientas cambian y se sofisticarán, pero las señales de prevención tampoco son nuevas: concienciación, controles técnicos robustos, visibilidad en la red y colaboración entre el sector público y privado son las mejores barreras para minimizar el impacto y reducir la ventana de actuación del atacante. Para quienes deseen consultar análisis técnicos y notas de advertencia, pueden empezar por las publicaciones de empresas que han investigado estos incidentes y por los recursos de organismos de ciberseguridad señalados arriba (Aryaka, CYFIRMA, Seqrite Labs, SEKOIA y repositorios de referencia como MITRE ATT&CK).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...