Librarian Ghouls automatiza ataques nocturnos con software legítimo

Kaspersky ha detectado una campaña activa de ciberespionaje atribuida al grupo APT Librarian Ghouls, también conocido como ‘Rare Werewolf’ o ‘Rezet’. Esta operación, iniciada en diciembre de 2024, utiliza herramientas legales para ejecutar ataques remotos durante la madrugada, sin levantar sospechas entre los usuarios afectados.

Kaspersky ha identificado una sofisticada campaña maliciosa liderada por el grupo APT Librarian Ghouls, que en lo que va de 2025 ha intensificado sus ataques contra organizaciones en Rusia y otros países de la Comunidad de Estados Independientes (CEI). El grupo destaca por reutilizar aplicaciones legítimas, como AnyDesk, curl o WinRAR, en sus operaciones, lo que le permite evadir con facilidad los sistemas de detección convencionales.

La campaña comienza con correos electrónicos de phishing que aparentan contener documentos financieros. Una vez abierto el archivo, se ejecuta una cadena de scripts que instala software remoto, desactiva los sistemas de protección del equipo y activa funciones de minería de criptomonedas. Todo el proceso está automatizado y se ejecuta mientras el usuario duerme.

La campaña de ciberespionaje comienza con correos electrónicos de phishing que aparentan contener documentos financieros. Foto: Securelist by Kaspersky.

“Lo más preocupante de este grupo es su capacidad para aprovechar herramientas completamente legales en un contexto malicioso. Esta estrategia les permite operar con una precisión quirúrgica”, explica Marc Rivero, Lead Security Researcher de Kaspersky. “Además, programan los equipos para que se enciendan automáticamente de madrugada, ejecuten los comandos y se apaguen antes del horario laboral”.

Los sistemas comprometidos se activan entre la 1:00 y las 5:00 de la madrugada, franja horaria en la que los atacantes acceden remotamente, extraen documentos confidenciales y credenciales, y utilizan los equipos para minar criptomonedas. Posteriormente, el sistema se apaga sin dejar señales evidentes.

La orientación económica de los ataques es clara: el grupo presta especial atención a usuarios con monederos de criptomonedas y acceso a sistemas corporativos. Para ello, emplea utilidades como Defender Control, que desactiva Windows Defender, prolongando el tiempo de permanencia del malware en los sistemas.

Según Kaspersky, ya se han detectado cientos de infecciones en entidades industriales y educativas, así como entre profesionales del ámbito técnico. El grupo continúa activo y adaptando sus herramientas, lo que sugiere una amenaza sostenida a corto y medio plazo.

Para mitigar el riesgo, los expertos recomiendan extremar la precaución ante correos sospechosos, mantener todo el software actualizado, evitar aplicaciones pirata y utilizar soluciones de seguridad capaces de detectar usos anómalos de herramientas legales.

El caso de Librarian Ghouls pone de relieve una tendencia creciente en el ámbito de la ciberseguridad: el uso de software legítimo con fines maliciosos. Esta técnica, conocida como ‘living off the land’, complica la detección de ataques y exige una vigilancia continua por parte de las organizaciones.