La unidad de inteligencia de Palo Alto Networks, Unit 42, ha identificado una operación de espionaje, denominada “Shadow Campaigns”, atribuida al actor TGR-STA-1030, que habría comprometido infraestructuras gubernamentales en 37 países y realizado tareas de reconocimiento en América Latina, según un comunicado enviado a Cointelegraph en Español.
De acuerdo a lo informado, la investigación indicó que, además de los países afectados, el actor habría realizado tareas de reconocimiento activo contra infraestructuras gubernamentales vinculadas a 155 países entre noviembre y diciembre de 2025. Las entidades impactadas incluirían ministerios y departamentos de interior, asuntos exteriores, finanzas, comercio, economía, inmigración, minería, justicia y energía.
A partir de octubre de 2025 —explicaron— el grupo habría mostrado mayor interés en organizaciones y eventos relacionados con América del Norte, Central y del Sur. Durante ese mes, Unit 42 detectó escaneos de infraestructura gubernamental en Brasil, Canadá, República Dominicana, Guatemala, Honduras, Jamaica, México, Panamá y Trinidad y Tobago. Asimismo, evaluó que el actor probablemente comprometió entidades gubernamentales en Bolivia, Brasil, México, Panamá y Venezuela, por lo que no descartó una eventual incursión en infraestructura peruana.
Enfoque selectivo y herramientas avanzadas
De acuerdo con el informe, TGR-STA-1030 habría utilizado un enfoque dirigido, basado en herramientas personalizadas de alta precisión, en lugar de ataques masivos automatizados. Unit 42 señaló que el grupo priorizaría objetivos vinculados a asociaciones económicas y eventos geopolíticos relevantes, ejecutando ataques pocos días después de acontecimientos internacionales.
Entre los objetivos identificados figurarían organismos de seguridad y control fronterizo, ministerios de finanzas y departamentos relacionados con diplomacia, recursos naturales y comercio exterior, así como empresas de telecomunicaciones y proveedores del sector energético, explicaron.
Además, el informe describió varios hallazgos técnicos. Uno de los vectores iniciales habría sido el uso de correos de phishing altamente personalizados, en ocasiones presentados como documentos relacionados con reorganizaciones ministeriales.
También se identificó un cargador de malware denominado “Diaoyu”, que habría mantenido una huella mínima de código. Según Unit 42, mientras otros cargadores verificaron decenas de productos de seguridad, esta variante comprobó sólo cinco, lo que le permitió evadir filtros tradicionales.
Además, se detectó un rootkit de kernel para Linux denominado “ShadowGuard”, que permitió modificar datos del sistema y permanecer oculto frente a herramientas estándar de auditoría. El grupo también habría explotado vulnerabilidades conocidas (“N-day”) en software crítico como Microasoft Exchange, SAP y Atlassian, actuando antes de que las organizaciones aplicaran los parches correspondientes, agregaron.
Seguimiento y cooperación internacional
Unit 42 indicó que, gracias a la escala de datos de Palo Alto Networks, logró rastrear las firmas del actor a nivel global y colaboró con socios industriales y gubernamentales para alertar a las organizaciones afectadas. Según la información difundida, también ofreció asistencia técnica para la reparación de los sistemas comprometidos.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
