El Reino Unido denunció que la inteligencia militar de Rusia está detrás de un nuevo virus para hackear la nube de Microsoft

El gobierno británico volvió a encender las alarmas sobre la actividad del espionaje ruso. Esta vez, lo hizo al atribuir formalmente una herramienta de ciberespionaje —recién identificada— al GRU, la temida inteligencia militar de Moscú.

Se trata de un malware bautizado como AUTHENTIC ANTICS, que, según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, fue utilizado por el grupo APT 28, también conocido como Fancy Bear, Forest Blizzard o Blue Delta en otros informes internacionales. Este grupo opera bajo la Unidad Militar 26165 del GRU, uno de los brazos más activos y sofisticados del aparato cibernético ruso.

La revelación vino acompañada de un paquete de sanciones contra tres unidades del GRU (las 26165, 29155 y 74455) y 18 agentes identificados. ¿El motivo? Actividades de interferencia cibernética y desinformación que, según Londres, tienen como objetivo apoyar los intereses militares y geopolíticos del Kremlin.

El malware en cuestión no es menor. Fue diseñado para mantenerse oculto dentro de sistemas que usan servicios en la nube de Microsoft, robando credenciales y tokens de autenticación. Lo que hace es mostrar, cada tanto, una falsa pantalla de inicio de sesión para que el usuario entregue sus datos sin darse cuenta. Luego, esos datos son enviados desde la misma casilla de correo de la víctima a cuentas secretas controladas por los atacantes. Todo, sin dejar rastros visibles en la carpeta de “Enviados”.

“El uso del malware AUTHENTIC ANTICS demuestra la persistencia y sofisticación de la ciberamenaza que representa el GRU ruso”, advirtió Paul Chichester, director de operaciones del NCSC. “Los defensores de la red no deben bajar la guardia. La vigilancia y las medidas de protección son esenciales”.

La herramienta fue descubierta tras un incidente en 2023 que fue investigado de forma conjunta entre Microsoft y el NCC Group, una firma especializada en respuesta a incidentes, bajo supervisión del NCSC.

Desde el gobierno británico no se anduvieron con vueltas. El secretario de Asuntos Exteriores, David Lammy, fue categórico, “Los espías del GRU están llevando a cabo una campaña para desestabilizar Europa, socavar la soberanía de Ucrania y amenazar la seguridad de los ciudadanos británicos. El Kremlin no debe tener ninguna duda: vemos lo que intentan hacer en la sombra y no lo toleraremos”.

La ofensiva diplomática de Londres se da en el marco de un esfuerzo más amplio para frenar lo que considera “amenazas híbridas” por parte de Rusia, en coordinación con aliados internacionales. El NCSC también publicó un informe técnico detallado sobre el malware, disponible en su sitio oficial.

No es la primera vez que estas unidades del GRU son señaladas por Londres y sus aliados. La Unidad 29155 ha sido vinculada a operaciones de sabotaje y la 74455 —más conocida como Sandworm— fue asociada a ciberataques como el intento contra la Organización para la Prohibición de las Armas Químicas en 2018 y la diseminación del malware Cyclops Blink.