Librarian Ghouls: El grupo APT que automatiza ataques nocturnos con herramientas legales

Introducción

En el panorama actual de amenazas avanzadas, la sofisticación de los grupos APT (Amenazas Persistentes Avanzadas) no deja de evolucionar. Recientemente, Kaspersky ha publicado un análisis detallado sobre una campaña de ciberespionaje atribuida al grupo conocido como Librarian Ghouls—también identificado en informes previos bajo los alias “Rare Werewolf” o “Rezet”—, que ha intensificado su actividad durante 2025. La campaña apunta principalmente a organizaciones en Rusia y países de la Comunidad de Estados Independientes (CEI), y destaca por el uso sistemático de herramientas legítimas y automatización para ejecutar ataques nocturnos de manera sigilosa y eficiente.

Contexto del Incidente o Vulnerabilidad

La actividad de Librarian Ghouls se remonta a campañas aisladas identificadas desde 2022, pero es en el primer semestre de 2025 cuando se observa un repunte en la frecuencia y agresividad de sus operaciones. Según Kaspersky, el grupo ha dirigido con precisión sus ataques hacia entidades gubernamentales, infraestructuras críticas y grandes corporaciones del sector financiero y energético en la región CEI. Su modus operandi se caracteriza por la reutilización creativa de software legítimo para eludir controles de seguridad, dificultando la atribución y la detección por parte de los equipos SOC y EDR.

Detalles Técnicos

El vector de ataque inicial suele estar vinculado a campañas de spear phishing dirigidas, con correos electrónicos cuidadosamente personalizados usando ingeniería social avanzada. Los documentos adjuntos o enlaces maliciosos aprovechan vulnerabilidades recientes en suites ofimáticas (CVE-2024-21412 y CVE-2024-24919, ambas con exploits disponibles en frameworks como Metasploit). Una vez comprometido el endpoint, los atacantes despliegan scripts automatizados que ejecutan herramientas legales como PsExec, WinRAR, AnyDesk y utilidades de PowerShell firmadas digitalmente.

La automatización de los ataques nocturnos es un rasgo distintivo: los scripts programados mediante tareas de Windows Scheduler (schtasks.exe) se activan fuera del horario laboral, minimizando el riesgo de detección. El framework MITRE ATT&CK permite mapear las TTPs empleadas: destacan técnicas como T1059 (Command and Scripting Interpreter), T1071 (Application Layer Protocol), T1105 (Ingress Tool Transfer) y T1218 (Signed Binary Proxy Execution).

Entre los Indicadores de Compromiso (IoC) identificados se encuentran hashes de ejecutables modificados, conexiones a servidores C2 ubicados en dominios recientemente registrados y logs de acceso remoto inusuales en horarios nocturnos. Librarian Ghouls ha demostrado capacidad para eludir soluciones de EDR mediante la migración de procesos y la ofuscación de comandos PowerShell.

Impacto y Riesgos

Las campañas de Librarian Ghouls han afectado a más de 60 organizaciones en 2025, con una tasa de éxito estimada del 15% en los intentos de spear phishing iniciales. El impacto va desde la exfiltración de información sensible (documentos confidenciales, credenciales y datos financieros) hasta la manipulación de procesos internos. El uso de herramientas legales dificulta la respuesta forense y aumenta el riesgo de movimientos laterales no detectados, elevando el potencial de daño reputacional y sanciones regulatorias bajo el marco GDPR y la inminente directiva NIS2.

En algunos casos, los atacantes han mantenido persistencia durante semanas, actualizando sus cargas útiles y modificando la infraestructura C2 para prolongar el acceso y maximizar la extracción de datos sin levantar alertas.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo frente a campañas similares, se recomienda:

– Actualizar y parchear todos los sistemas afectados por las CVEs mencionadas.
– Restringir el uso de herramientas de administración remota, aplicando listas blancas y segmentación de red.
– Implementar detección avanzada de comportamiento (UEBA) y monitorización de tareas programadas inusuales, especialmente fuera del horario laboral.
– Revisar y endurecer políticas de macros y ejecución de scripts en entornos ofimáticos.
– Realizar análisis retrospectivos de IoC compartidos por Kaspersky y otros CERTs.
– Formación continua en phishing y concienciación de amenazas para todos los usuarios con acceso a información sensible.

Opinión de Expertos

Según Alexey Shulmin, analista principal de amenazas en Kaspersky, “el uso de herramientas legítimas y la automatización horaria representan un cambio de paradigma en la ejecución de ataques APT, donde la línea entre actividad maliciosa y administración legítima es cada vez más difusa”. Otros expertos subrayan la importancia de una monitorización contextual y el cruce de eventos de múltiples fuentes, ya que los EDR tradicionales pueden ser insuficientes ante ataques que no implican malware personalizado.

Implicaciones para Empresas y Usuarios

Las empresas de la región CEI y, por extensión, las que mantengan relaciones comerciales con entidades afectadas deben elevar sus estándares de seguridad y revisar la gestión de privilegios. El modelo Zero Trust y el principio de mínimo privilegio cobran especial relevancia ante adversarios que dependen de la automatización y el abuso de herramientas comunes. Para los usuarios, la principal recomendación sigue siendo la cautela ante correos inesperados y la denuncia inmediata de cualquier actividad sospechosa, especialmente fuera del horario habitual.

Conclusiones

La campaña de Librarian Ghouls demuestra que el ciberespionaje corporativo sigue evolucionando, aprovechando la automatización y el uso de herramientas legítimas para maximizar el sigilo y la eficacia. La detección proactiva, la formación continua y la adopción de soluciones de seguridad avanzadas se consolidan como pilares esenciales para mitigar este tipo de amenazas, en un entorno regulatorio cada vez más exigente.

(Fuente: www.cybersecuritynews.es)