Los investigadores de seguridad identificaron tres nuevos grupos de amenazas que proporcionaron acceso o lanzaron ataques directos contra entornos tecnológicos operativos, según un informe publicado el martes por Dragos.
Un grupo rastreado como Sylvanite proporciona acceso inicial a Voltzite, que se superpone con el grupo comúnmente conocido como Volt Typhoon.
Volt Typhoon es un grupo amenazador vinculado al estado que las autoridades estadounidenses advirtieron previamente que tiene Se dirigieron a sitios de infraestructura crítica de EE. UU. para ataques disruptivos en caso de un conflicto militar en la región de Asia y el Pacífico.
Los investigadores de Dragos advierten que Sylvanite es un grupo distinto que proporciona acceso inicial abusando de los dispositivos periféricos.
«No es el equipo que intenta obtener acceso a largo plazo y OT, eso es Voltzite, sino que es el equipo que trabaja con Voltzite o para Voltzite el que entra y desarrolla el acceso», dijo Robert Lee, cofundador y director ejecutivo de Dragos, durante una conferencia de prensa la semana pasada.
Sylvanite estuvo vinculado a un incidente de mayo de 2025 en una empresa de servicios públicos de EE. UU. donde las vulnerabilidades en Ivanti Endpoint Manager Móvil fueron explotados, incluyendo CVE-2025-4427 y CVE-2025-44428según el informe.
Azurite, un grupo que se superpone con Flax Typhoon, utiliza entornos comprometidos de pequeñas oficinas/oficinas en el hogar para atacar estaciones de trabajo de ingeniería, según Dragos. El grupo utiliza técnicas de subsistencia de la tierra para mantener la persistencia.
Un tercer grupo, denominado piroxeno, utiliza técnicas de ingeniería social. incluidos perfiles falsos de LinkedIn, para hacerse pasar por reclutadores. El grupo ha ampliado sus operaciones desde Oriente Medio a América del Norte y Europa Occidental desde 2023, apuntando a los sectores aeroespacial, de defensa, marítimo y otros.
En 2025, el grupo implementó malware de limpieza contra múltiples objetivos en Israel, en la época del conflicto militar de 12 días con Irán, según Dragos. Los investigadores advierten que el grupo se está posicionando activamente para operaciones futuras que podrían afectar los sistemas de control industrial.
Más allá de estos grupos de amenazas recientemente identificados, los investigadores advirtieron que los grupos existentes están ampliando sus operaciones.
Kamacite opera como equipo de acceso para Electrum, un antiguo adversario vinculado a los ataques de 2015 contra la red eléctrica ucraniana. Según Dragos, Kamacite estuvo vinculado a una escalada de ataques de 2024 a 2025 contra las cadenas de suministro de ICS en Europa.
«No hay otro equipo en el mundo que tenga tanta experiencia en derribar infraestructura como Electrum», dijo Lee durante la sesión informativa.
Lee también dijo que a medida que la fase cibernética de la guerra en Ucrania llega a su fin, grupos de amenazas experimentados están comenzando a apuntar a industrias en otras partes del mundo, incluidos Europa y Estados Unidos.
Como ejemplo de amenaza, Electrum fue vinculado al ataque de diciembre contra la red eléctrica en Polonia. Ese ataque tuvo como objetivo múltiples instalaciones, incluyendo parques eólicos e instalaciones solaressegún Dragos, que formaba parte del equipo de respuesta a incidentes.
Fuente