Un reporte del Unit 42 de Palo Alto Networks reveló que una organización cibercriminal vinculada a un Estado accedió -al menos desde 2024- a redes gubernamentales e infraestructuras críticas de la información de unas 70 organizaciones en todo el mundo.
Un reporte del Unit 42 de Palo Alto Networks reveló esta semana una amplia campaña de espionaje digital de gran alcance que comprometió redes gubernamentales y de infraestructura crítica de la información en al menos 37 países alrededor del mundo durante el último año. La campaña, denominado Shadow Campaigns, fue adjudicad al grupo cibercriminal TGR-STA-1030, que ha realizado operaciones de intrusión sofisticadas dirigidas a diversos objetivos estatales y estratégicos.
Según el informe técnico, la campaña ha afectado a múltiples agencias estatales que abarcan desde ministerios de finanzas hasta departamentos de comercio, recursos naturales y sedes diplomáticas, así como a fuerzas de seguridad interna y fronteriza. La acción del grupo no se limita a un continente o región específica, sino que se ha observado en países de América, Europa, Asia, África y Oceanía.
La firma de investigación subraya que, entre noviembre y diciembre de 2025, los hackers no solo comprometieron directamente a unas 70 organizaciones en esos 37 países, sino que también escanearon infraestructura gubernamental en 155 naciones diferentes en lo que parece ser una continua fase de reconocimiento y preparación para posibles intrusiones futuras.
Una de las características más alarmantes de este grupo es su uso de técnicas avanzadas para ocultar su presencia dentro de los sistemas comprometidos. Entre las herramientas identificadas se encuentra un rootkit de kernel para Linux denominado ShadowGuard, capaz de ocultar procesos y archivos a nivel profundo en los sistemas objetivo, lo que dificulta significativamente su detección y erradicación.
Peter Renals, investigador principal del equipo Unit 42, comentó al medio digital Axios, que los atacantes “están enfocando, recolectando y haciendo el espionaje que quieren, mientras se mantienen justo por debajo de ese umbral de llamar demasiado la atención”, lo que revela una estrategia deliberada para operar de manera persistente y silenciosa dentro de las redes atacadas, observando y extrayendo información a lo largo del tiempo.
Las motivaciones detrás del espionaje parecen estar vinculadas principalmente a intereses económicos y políticos, según las correlaciones temporales entre las intrusiones y ciertos eventos geopolíticos.
En América Latina, por ejemplo, se observó actividad contra infraestructura gubernamental hondureñas un mes antes de sus elecciones nacionales, justo cuando los candidatos discutían restablecer relaciones diplomáticas con Taiwán. De manera similar, se detectaron intentos de acceso a sistemas mexicanos 24 horas después de la apertura de una investigación comercial por parte de China.
En el caso de México, además de estos accesos, el reporte indica que se habría comprometido dos secretarías de Estado, mientras que en Brasil se vio afectado el Ministerio de Minas y Energías.
Entre las principales economías del mundo comprometidas se destacan Alemania, Italia y Japón, así como Arabia Saudita e India. En tanto, en el resto de América Latina, aparecen mencionados Panamá, Venezuela y Bolivia. Los sistemas de gobiernos potencias como Estados Unidos y Reino Unido no parecen haber sido afectados en esta fase.
El reporte también destaca la capacidad del grupo para moverse lateralmente dentro de las redes accedidas y proporcionar puntos de reingreso sugiere un riesgo persistente y duradero para los datos y operaciones de las agencias afectadas.
El reporte también incluye indicadores de compromiso y recomendaciones para reforzar sistemas y mitigar eventuales intrusiones.