Revelan malware ruso «AUTHENTIC ANTICS» que roba credenciales en la nube de Microsoft y atribuyen su uso al GRU en nueva escalada de ciberespionaje

Revelan nueva herramienta de ciberespionaje atribuida al GRU ruso

El gobierno del Reino Unido volvió a alertar sobre las actividades de espionaje digital llevadas a cabo por Rusia, en particular, mediante la identificación de una nueva herramienta de ciberataque vinculada al Servicio de Inteligencia Militar de Moscú, el GRU. La herramienta en cuestión, denominada AUTHENTIC ANTICS, ha sido utilizada por el grupo de hackers conocido internacionalmente como APT 28, también llamado Fancy Bear, Forest Blizzard o Blue Delta.

Se trata de un malware sofisticado diseñado para infiltrarse y mantenerse oculto en sistemas que utilizan servicios en la nube de Microsoft. Según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, esta amenaza ha sido empleada en campañas dirigidas a robar credenciales y tokens de autenticación, lo que permite a los atacantes acceder sin ser detectados. La técnica consiste en mostrar una pantalla de inicio de sesión falsa, en la que los usuarios ingresan sus datos sin sospechar que están siendo víctimas de un engaño. Estos datos se envían a servidores controlados por los hackers, encriptados y sin dejar rastros evidentes en los registros de correo.

## Acciones y sanciones contra el GRU

El anuncio de Londres vino acompañado de la imposición de sanciones contra tres unidades del GRU, identificadas como las 26165, 29155 y 74455, además de 18 agentes vinculados a estas organizaciones. La razón principal de estas medidas es la evidencia de actividades de interferencia cibernética y campañas de desinformación, que, según el gobierno británico, buscan respaldar los intereses militares y políticos del Kremlin en Europa y en otras regiones.

El informe técnico del NCSC detalla cómo AUTHENTIC ANTICS fue descubierto tras un incidente ocurrido en 2023, resultado de una colaboración entre Microsoft y el grupo de respuesta a incidentes NCC Group. La investigación concluyó que la herramienta refleja un nivel elevado de sofisticación, demostrando la persistencia y capacidad del GRU para mantener operaciones encubiertas.

## La postura del gobierno británico y el contexto internacional

El secretario de Asuntos Exteriores del Reino Unido, David Lammy, afirmó con claridad que: «Los espías del GRU están realizando una campaña para desestabilizar Europa, socavar la soberanía de Ucrania y poner en riesgo la seguridad de los ciudadanos británicos. El Kremlin debe entender que no toleramos estas acciones en la sombra.» Londres refuerza su compromiso con una postura firme y coordinada con aliados internacionales para contrarrestar las amenazas híbridas provenientes de Rusia.

El informe del NCSC también señala que estas unidades del GRU, en particular la 29155 y la 74455 (conocida como Sandworm), han estado involucradas en operaciones de sabotaje y ciberataques de alto perfil, incluyendo el intento de sabotaje contra la Organización para la Prohibición de las Armas Químicas en 2018, y la propagación del malware Cyclops Blink. La comunidad internacional continúa monitoreando de cerca las actividades de estas agencias, conscientes del impacto que pueden tener en la seguridad global.

El anuncio refuerza la necesidad de que organizaciones y usuarios sigan reforzando sus sistemas de protección y vigilancia en un contexto donde las amenazas cibernéticas cada vez son más sofisticadas y persistentes. El gobierno británico mantiene su postura de alerta y cooperación internacional para frenar la influencia de estos grupos en la arena digital.