Un grupo de ciberespionaje apoyado por Rusia logró acceso a redes de países de la OTAN y empresas de tecnología occidentales

El grupo de ciberespionaje apodado Laundry Bear ha perfeccionado técnicas de ataque como el uso de dominios falsificados y campañas de spear-phishing para infiltrarse en organizaciones clave de Europa y Norteamérica, según reportó The Register. Esta agrupación, también identificada por Microsoft como Void Blizzard, ha intensificado sus operaciones desde abril de 2024, enfocándose en entidades gubernamentales, fuerzas policiales, empresas tecnológicas occidentales y sectores estratégicos de interés para el gobierno ruso. Las agencias de inteligencia de los Países Bajos, la AIVD y la MIVD, confirmaron que el grupo actúa con respaldo estatal ruso y representa una amenaza internacional significativa.

De acuerdo con The Register, la primera detección de Laundry Bear ocurrió durante una investigación sobre un ataque de robo de credenciales dirigido a la policía neerlandesa en septiembre de 2024. Las autoridades neerlandesas detallaron que, ese mismo año, los ciberespías rusos lograron infiltrarse en empresas de defensa, aeroespacial y tecnología espacial, así como en compañías que desarrollan tecnologías avanzadas restringidas para Rusia debido a las sanciones impuestas por países occidentales tras la invasión a Ucrania.

Por su parte, Microsoft Threat Intelligence informó que en octubre de 2024, el grupo accedió a cuentas de usuarios de organizaciones ucranianas del sector aeronáutico. Esta entidad ya había sido blanco de ataques previos por parte de Seashell Blizzard (también conocido como Sandworm), otro grupo vinculado a la inteligencia rusa, en 2022. Según el informe de Microsoft, Laundry Bear ha intentado comprometer de manera regular a organismos gubernamentales y fuerzas del orden en Europa y América del Norte, además de atacar sectores como telecomunicaciones, defensa, salud, educación, tecnología de la información, transporte, medios de comunicación y organizaciones no gubernamentales.

La agencia de noticias Reuters consignó que los ataques contra instituciones neerlandesas forman parte de una amenaza cibernética internacional más amplia. En una carta conjunta al parlamento, la AIVD y la MIVD subrayaron que el grupo operó de manera encubierta hasta su descubrimiento en septiembre de 2024, cuando accedió a información confidencial de funcionarios policiales de los Países Bajos. El objetivo principal de estos ataques ha sido obtener información sobre la adquisición y producción de equipamiento militar por parte de gobiernos occidentales y sobre los envíos de armas a Ucrania.

The Register detalló que, hasta la fecha, Laundry Bear solo ha ejecutado ataques cibernéticos no destructivos, orientados principalmente al espionaje. El grupo suele emplear credenciales robadas obtenidas en ecosistemas de malware de robo de información y, una vez dentro de las organizaciones víctimas, recopila grandes volúmenes de correos electrónicos y archivos. En abril de 2025, Microsoft Threat Intelligence Center observó que Void Blizzard amplió su repertorio con campañas de spear-phishing dirigidas al robo de credenciales, enfocándose en más de 20 organizaciones no gubernamentales en Europa y Estados Unidos.

Durante estas campañas, los atacantes se hicieron pasar por organizadores de la European Defense and Security Summit, enviando correos electrónicos con archivos PDF maliciosos que contenían un código QR. Al escanearlo, las víctimas eran redirigidas a una infraestructura controlada por Void Blizzard en el dominio falsificado micsrosoftonline.com, que simulaba la página de inicio de sesión de Microsoft. El montaje utilizaba la herramienta de código abierto Evilginx para interceptar nombres de usuario, contraseñas y cookies de sesión cuando los usuarios intentaban “registrarse” en el falso evento.

El uso de dominios falsificados, conocido como typosquatting, representa una táctica novedosa para el grupo, lo que indica una evolución hacia operaciones más dirigidas y un aumento del riesgo para sectores críticos, según advirtió Microsoft. Una vez obtenida la entrada inicial, los atacantes explotan interfaces legítimas de la nube, como Exchange Online y Microsoft Graph, para acceder a buzones de correo, incluidos los compartidos, y archivos alojados en la nube, automatizando la recolección masiva de datos.

Microsoft también observó que, en algunos casos, los atacantes accedieron a conversaciones y mensajes de Microsoft Teams a través de la aplicación web, y utilizaron la herramienta pública AzureHound para mapear la configuración de Microsoft Entra ID de las organizaciones comprometidas, obteniendo información sobre usuarios, roles, grupos, aplicaciones y dispositivos.

Aunque muchas de estas tácticas son comunes entre los grupos de espionaje y ofensiva cibernética del gobierno ruso, tanto Microsoft como los servicios de inteligencia neerlandeses sostienen que Laundry Bear constituye una agrupación distinta. Según el aviso conjunto de la AIVD y la MIVD, las operaciones de Laundry Bear presentan similitudes con el modus operandi de APT28 (también conocido como Fancy Bear), otro grupo vinculado al GRU ruso, que desde 2022 ha atacado a proveedores logísticos, empresas tecnológicas y organismos gubernamentales de países occidentales y de la OTAN que brindan asistencia a Ucrania.

En las últimas semanas, 21 agencias gubernamentales de países como Estados Unidos, Reino Unido, Canadá, Alemania, Francia, República Checa, Polonia, Austria, Dinamarca y Países Bajos alertaron sobre una campaña en curso de Fancy Bear dirigida a servidores de correo electrónico y cámaras conectadas a internet en pasos fronterizos ucranianos, con el objetivo de rastrear envíos de ayuda.

A pesar de la coincidencia en la selección de objetivos y el uso de técnicas como los ataques de password spraying, los servicios neerlandeses enfatizaron que Laundry Bear y APT28 son actores diferentes. The Moscow Times también reportó que la investigación de las agencias neerlandesas reveló que Laundry Bear ha estado detrás de operaciones cibernéticas contra gobiernos occidentales y otras instituciones desde al menos 2024.

El análisis de las agencias de inteligencia neerlandesas, citado por Reuters y The Moscow Times, concluyó que los ciberataques contra instituciones de los Países Bajos forman parte de una amenaza internacional más amplia, con el objetivo de obtener información estratégica sobre la producción y suministro de equipamiento militar occidental y la entrega de armas a Ucrania.