El Gobierno del Reino Unido ha impuesto sanciones a tres unidades de inteligencia militar rusa y a 18 individuos tras la exposición de una sofisticada campaña de ciberespionaje. Esta campaña, dirigida a los servicios en la nube de Microsoft, fue descubierta por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido. Según el NCSC, el grupo ruso de amenazas persistentes avanzadas APT 28 empleó un malware previamente desconocido, denominado AUTHENTIC ANTICS, para robar credenciales de inicio de sesión y mantener acceso persistente a las cuentas de correo electrónico de las víctimas.
AUTHENTIC ANTICS: Una Evolución en Ataques a Entornos Microsoft Cloud
El malware AUTHENTIC ANTICS representa un avance significativo en las capacidades cibernéticas de Rusia, diseñado específicamente para atacar entornos de nube de Microsoft mediante técnicas avanzadas de recolección de credenciales. El análisis técnico del NCSC revela que el malware opera mostrando ventanas de inicio de sesión periódicas que parecen legítimas, solicitando a los usuarios que ingresen sus credenciales. Una vez capturadas, estas credenciales son interceptadas junto con los tokens de autenticación OAuth, lo que permite a los atacantes un acceso extendido a los servicios de Microsoft sin activar las alertas de seguridad tradicionales.
Las capacidades sigilosas de AUTHENTIC ANTICS van más allá del simple robo de credenciales. El malware puede filtrar datos sensibles enviando automáticamente correos electrónicos desde las cuentas comprometidas a direcciones controladas por los atacantes, asegurando que estos mensajes nunca aparezcan en la carpeta de enviados de la víctima. Esta técnica permite la extracción encubierta de datos por períodos prolongados, facilitando operaciones de recopilación de inteligencia a largo plazo.
Respuesta del Reino Unido y Contexto Estratégico
La respuesta del Reino Unido incluye sanciones exhaustivas contra las unidades del GRU: 26165, 29155 y 74455, así como contra 18 oficiales y agentes del GRU implicados en operaciones globales de interferencia cibernética y de información. El Secretario de Asuntos Exteriores, David Lammy, enfatizó que estas medidas demuestran el compromiso del Reino Unido de contrarrestar las amenazas híbridas rusas, afirmando que «los espías del GRU están llevando a cabo una campaña para desestabilizar Europa, socavar la soberanía de Ucrania y amenazar la seguridad de los ciudadanos británicos».
Esta atribución se alinea con la identificación de Rusia como la amenaza más grave que enfrenta el Reino Unido, según la Revisión de Defensa Estratégica. En respuesta, el gobierno ha anunciado el mayor aumento sostenido del gasto en defensa desde la Guerra Fría, elevándolo al 2.6% del PIB para 2027, como parte de los esfuerzos para contrarrestar las amenazas cibernéticas e híbridas.
La investigación del NCSC confirma que APT 28, también conocido en las comunidades de código abierto como Fancy Bear, Forest Blizzard y Blue Delta, opera como parte del Centro Principal de Servicios Especiales GRU 85 de Rusia, Unidad Militar 26165. Paul Chichester, director de operaciones del NCSC, destacó que «el uso del malware AUTHENTIC ANTICS demuestra la persistencia y sofisticación de la amenaza cibernética planteada por el GRU de Rusia».
El descubrimiento del malware surgió de un incidente cibernético investigado por Microsoft y NCC Group en 2023, lo que subraya la importancia de las asociaciones público-privadas en ciberseguridad. La atribución técnica del Reino Unido se ha coordinado con socios internacionales, reforzando la defensa colectiva contra las ciberoperaciones rusas dirigidas a infraestructuras críticas e instituciones democráticas en toda Europa y más allá.
