El grupo de ciberespionaje conocido como Laundry Bear ha perfeccionado sus tácticas de infiltración digital, recurriendo al uso de dominios falsos y campañas de spear-phishing para acceder a redes sensibles en Europa y Norteamérica. Según informó The Register, esta célula, también identificada por Microsoft como Void Blizzard, intensificó sus operaciones desde abril de 2024, apuntando a organismos gubernamentales, fuerzas policiales, compañías tecnológicas y sectores estratégicos considerados de alto interés para el gobierno ruso.
Los servicios de inteligencia neerlandeses AIVD y MIVD confirmaron que Laundry Bear actúa con respaldo del Estado ruso, y advirtieron sobre la magnitud internacional de la amenaza. La primera señal de alerta surgió en septiembre de 2024, durante una investigación sobre el robo de credenciales a la policía de los Países Bajos. Desde entonces, las autoridades identificaron intrusiones en empresas de defensa, aeroespacial y tecnología avanzada —muchas de ellas sujetas a restricciones impuestas a Rusia tras la invasión a Ucrania.
Microsoft Threat Intelligence detalló que en octubre del mismo año, el grupo logró comprometer cuentas de empleados de organizaciones ucranianas del sector aeronáutico, ya atacadas anteriormente por Seashell Blizzard (o Sandworm), otro actor cibernético vinculado al Kremlin.
Los ataques de Laundry Bear no se han limitado al ámbito militar. Microsoft señala que el grupo ha intentado infiltrarse regularmente en agencias gubernamentales y cuerpos de seguridad en Europa y América del Norte, así como en sectores como telecomunicaciones, salud, educación, tecnología, transporte, medios y organizaciones no gubernamentales.
En una carta conjunta al Parlamento neerlandés, las agencias AIVD y MIVD revelaron que el grupo operó encubierto hasta su detección en septiembre de 2024, momento en el que accedió a información confidencial de funcionarios policiales. El objetivo: recolectar inteligencia sobre la producción y adquisición de equipamiento militar por parte de países occidentales y sobre el envío de armamento a Ucrania.
Hasta ahora, los ciberataques ejecutados por Laundry Bear han sido de naturaleza no destructiva, centrados en el espionaje y la exfiltración de información. El grupo emplea credenciales robadas obtenidas mediante malware especializado y, una vez dentro de las organizaciones, recopila grandes volúmenes de correos electrónicos y documentos.
En abril de 2025, Microsoft detectó una nueva ola de ataques mediante spear-phishing, en la que el grupo se dirigió a más de 20 ONG europeas y estadounidenses. En estas campañas, los atacantes suplantaron a organizadores del «European Defense and Security Summit» para distribuir archivos PDF maliciosos con códigos QR. Al escanearlos, las víctimas eran redirigidas a una página falsa alojada en el dominio micsrosoftonline.com, que imitaba la interfaz de inicio de sesión de Microsoft. Para ello, usaron Evilginx, una herramienta de código abierto capaz de interceptar nombres de usuario, contraseñas y cookies de sesión.
El uso de dominios falsificados —una técnica conocida como typosquatting— marca un giro hacia operaciones más sofisticadas y dirigidas, alertó Microsoft. Tras conseguir acceso inicial, los atacantes explotan herramientas legítimas en la nube, como Exchange Online y Microsoft Graph, para recolectar datos a gran escala. Incluso han logrado ingresar a conversaciones en Microsoft Teams y utilizaron AzureHound para mapear la configuración de identidades digitales en Microsoft Entra ID, accediendo a información crítica sobre usuarios, roles, grupos y dispositivos.
Aunque muchas de estas tácticas son comunes entre los grupos de ciberespionaje rusos, tanto Microsoft como las agencias neerlandesas subrayan que Laundry Bear constituye una entidad separada. En su modus operandi, sin embargo, se observan similitudes con APT28 (o Fancy Bear), una unidad ligada al GRU ruso, responsable de ataques a empresas tecnológicas, gobiernos y proveedores logísticos de países de la OTAN desde 2022.
En semanas recientes, 21 agencias gubernamentales de Estados Unidos, Reino Unido, Canadá, Alemania, Francia, República Checa, Polonia, Austria, Dinamarca y Países Bajos emitieron una alerta conjunta sobre una campaña de Fancy Bear centrada en servidores de correo electrónico y cámaras conectadas a internet en puntos fronterizos de Ucrania, con el fin de rastrear movimientos de ayuda militar.
Pese a la coincidencia en los objetivos y métodos —como el uso de password spraying—, los servicios de inteligencia neerlandeses insisten en que Laundry Bear y APT28 son grupos distintos. Según reportes de Reuters y The Moscow Times, las investigaciones apuntan a que Laundry Bear ha estado activo al menos desde 2024, conduciendo operaciones cibernéticas dirigidas contra gobiernos occidentales y otras instituciones clave.
La conclusión de los servicios neerlandeses es clara: estos ciberataques no son incidentes aislados, sino parte de una ofensiva coordinada para obtener inteligencia estratégica sobre las capacidades militares occidentales y sus contribuciones a la defensa de Ucrania.
Leave a comment