Un nuevo informe de Palo Alto Networks Unit 42 reveló la actividad de un grupo de ciberespionaje hasta ahora desconocido, identificado como TGR-STA-1030, que logró comprometer al menos 70 organismos gubernamentales y entidades de infraestructura crítica en 37 países durante el último año. Además de las intrusiones confirmadas, los investigadores detectaron actividades de reconocimiento activo contra infraestructura estatal vinculada a 155 países, lo que sugiere una campaña sostenida, amplia y planificada, orientada a la recolección de inteligencia estratégica.

Aunque el país de origen del grupo no pudo determinarse con certeza, los analistas concluyen que se trata de un actor respaldado por un Estado y de origen asiático, basándose en el uso de herramientas regionales, preferencias de idioma, patrones operativos alineados con intereses geopolíticos de la región y horarios de actividad compatibles con GMT+8. Entre las víctimas confirmadas figuran agencias de control fronterizo, ministerios de finanzas y otros organismos clave, así como dependencias relacionadas con economía, comercio, recursos naturales y diplomacia, lo que refuerza el carácter estratégico y político de los ataques.

De acuerdo con Unit 42, los atacantes lograron acceder y exfiltrar información sensible desde servidores de correo, incluyendo negociaciones financieras, contratos, datos bancarios y actualizaciones operativas de carácter militar. Las cadenas de ataque observadas comienzan mayormente con correos de phishing, que redirigen a archivos alojados en el servicio legítimo MEGA. Allí se distribuye un cargador malicioso diseñado para evadir análisis automatizados, mediante verificaciones del entorno y archivos específicos antes de ejecutar su carga útil.

Una vez dentro de los sistemas comprometidos, TGR-STA-1030 despliega un arsenal de herramientas avanzadas, que incluyen funciones de comando y control como Cobalt Strike, Sliver y SparkRAT, web shells y utilidades para ocultar el tráfico malicioso. El grupo también ha explotado vulnerabilidades conocidas en productos muy utilizados de Microsoft, SAP y Atlassian, entre otros, y ha logrado mantener accesos persistentes durante meses, un indicio claro de operaciones de espionaje a largo plazo. Para los investigadores, se trata de una amenaza activa y preocupante, con secuelas directas para la seguridad y estabilidad de servicios críticos a nivel global.

El impacto en Latinoamérica

El informe muestra que América Latina se convirtió en un foco de interés creciente para el grupo hacia fines de 2025, en un contexto marcado por tensiones políticas, procesos electorales y disputas económicas. Durante ese período, intensificó tareas de escaneo y reconocimiento sobre infraestructura gubernamental en varios países de la región, y en algunos casos avanzó hacia compromisos directos de redes estatales, alineando su actividad con eventos geopolíticos clave.

• Bolivia: los analistas consideran que el grupo comprometió una entidad estatal vinculada al sector minero, en un contexto donde los minerales estratégicos y las tierras raras se volvieron un tema central de debate. El interés coincide con discusiones electorales y anuncios sobre la posible revisión de acuerdos multimillonarios de explotación minera firmados por el Estado.

• Brasil: el grupo habría accedido a sistemas del Ministerio de Minas y Energía, en un país que posee la segunda mayor reserva de tierras raras del mundo. Se dio en paralelo al crecimiento acelerado de exportaciones del sector y al interés de EE.UU. por diversificar su abastecimiento, reduciendo su dependencia de Asia.

• México: se habrían comprometido dos ministerios mexicanos, que investigadores vinculan directamente con negociaciones y políticas de comercio internacional. El tráfico malicioso fue detectado a horas de que se hiciera pública una investigación sobre nuevos aranceles, lo que refuerza la hipótesis de espionaje económico.

• Panamá: la actividad coincide con una controversia política interna tras la destrucción de un monumento y las investigaciones oficiales. Según el informe, se habría aprovechado ese contexto para comprometer infraestructura estatal relacionada con el proceso, buscando acceso a información sensible.

• Venezuela: tras la incursión por parte de Estados Unidos en enero, el grupo desplegó una intensa campaña de reconocimiento contra más de 140 IP estatales. Poco después, investigadores detectaron el presunto compromiso de sistemas asociados a Venezolana de Industria Tecnológica, una empresa con lazos históricos entre el gobierno y una firma tecnológica asiática, clave en la cooperación económica y tecnológica entre ambas regiones.