{"id":5601,"date":"2025-06-11T06:42:26","date_gmt":"2025-06-11T06:42:26","guid":{"rendered":"https:\/\/satoshibrother.com\/es\/el-grupo-de-hackers-librarian-ghouls-ataca-dispositivos-rusos-para-minar-criptomonedas\/"},"modified":"2025-06-11T06:42:26","modified_gmt":"2025-06-11T06:42:26","slug":"el-grupo-de-hackers-librarian-ghouls-ataca-dispositivos-rusos-para-minar-criptomonedas","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/es\/el-grupo-de-hackers-librarian-ghouls-ataca-dispositivos-rusos-para-minar-criptomonedas\/","title":{"rendered":"El grupo de hackers Librarian Ghouls ataca dispositivos rusos para minar criptomonedas"},"content":{"rendered":"<h2>Compromiso de Dispositivos por Librarian Ghouls<\/h2>\n<p>El grupo de hackers <strong>Librarian Ghouls<\/strong> ha comprometido cientos de dispositivos en Rusia, utiliz\u00e1ndolos para <em>minar criptomonedas<\/em> en lo que parece ser un caso de <strong>cryptojacking<\/strong>, seg\u00fan la firma de ciberseguridad <strong>Kaspersky<\/strong>. Este grupo, tambi\u00e9n conocido como <strong>Rare Werewolf<\/strong>, obtiene acceso a los sistemas mediante <strong>correos electr\u00f3nicos de phishing<\/strong> que contienen malware disfrazado como mensajes de organizaciones leg\u00edtimas, tales como documentos oficiales o \u00f3rdenes de pago, seg\u00fan un informe de Kaspersky publicado el lunes. Los hackers recaban informaci\u00f3n de los dispositivos antes de proceder con la miner\u00eda.<\/p>\n<h2>T\u00e9cnicas de Infecci\u00f3n y Control<\/h2>\n<p>Una vez que un ordenador se infecta con el malware, los atacantes establecen una conexi\u00f3n remota y deshabilitan sistemas de seguridad como <strong>Windows Defender<\/strong>. El dispositivo infectado tambi\u00e9n est\u00e1 programado para encenderse autom\u00e1ticamente a la <strong>1 a.m.<\/strong> y apagarse a las <strong>5 a.m.<\/strong>. Los hackers utilizan este intervalo para establecer un <strong>acceso remoto no autorizado<\/strong> y robar credenciales de inicio de sesi\u00f3n. <\/p>\n<blockquote><p>\u201cNuestra evaluaci\u00f3n es que los atacantes implementan esta t\u00e9cnica para ocultar sus huellas y evitar que el usuario se d\u00e9 cuenta de que su dispositivo ha sido secuestrado\u201d<\/p><\/blockquote>\n<p>, indic\u00f3 Kaspersky. Posteriormente, roban credenciales de inicio de sesi\u00f3n y recopilan informaci\u00f3n sobre la <strong>RAM<\/strong> disponible, <strong>n\u00facleos de CPU<\/strong> y <strong>GPUs<\/strong> para optimizar el funcionamiento del minero de criptomonedas antes de ponerlo en marcha.<\/p>\n<h2>Funcionamiento del Minero y Estrategias de Ataque<\/h2>\n<p>Mientras el minero est\u00e1 en funcionamiento, los hackers mantienen una conexi\u00f3n con el pool de miner\u00eda, enviando una solicitud cada <strong>60 segundos<\/strong>, seg\u00fan Kaspersky. <\/p>\n<blockquote><p>\u201cObservamos que los atacantes est\u00e1n continuamente refinando sus t\u00e1cticas, abarcando no solo la exfiltraci\u00f3n de datos, sino tambi\u00e9n la implementaci\u00f3n de herramientas de acceso remoto y el uso de sitios de phishing para comprometer cuentas de correo electr\u00f3nico\u201d<\/p><\/blockquote>\n<p>, a\u00f1adi\u00f3 la firma.  <\/p>\n<h2>Campa\u00f1a de Cryptojacking en Curso<\/h2>\n<p>Hasta ahora, la campa\u00f1a de hacking, que comenz\u00f3 en <strong>diciembre de 2023<\/strong> y contin\u00faa activa, ha afectado a cientos de usuarios rusos, especialmente en <strong>empresas industriales<\/strong> y <strong>escuelas de ingenier\u00eda<\/strong>, con reportes de v\u00edctimas adicionales en <strong>Bielorrusia<\/strong> y <strong>Kazajist\u00e1n<\/strong>. El origen del grupo a\u00fan no ha sido determinado; sin embargo, Kaspersky sostiene que los correos electr\u00f3nicos de phishing est\u00e1n \u201credactados en ruso e incluyen archivos comprimidos con nombres en ruso, junto con documentos falsos en dicho idioma.\u201d <\/p>\n<blockquote><p>\u201cEsto sugiere que los objetivos primarios de esta campa\u00f1a probablemente son personas que residen en Rusia o que hablan ruso\u201d<\/p><\/blockquote>\n<p>, indic\u00f3 Kaspersky.<\/p>\n<h2>Posibles Motivos de los Hackers<\/h2>\n<p><strong>Librarian Ghouls<\/strong> podr\u00edan ser hacktivistas. Kaspersky especula que los Librarian Ghouls podr\u00edan ser <strong>hacktivistas<\/strong> que utilizan el hacking como una forma de <em>desobediencia civil<\/em> para promover una agenda pol\u00edtica, debido al uso de t\u00e9cnicas com\u00fanmente asociadas a grupos similares, como la dependencia de <strong>software leg\u00edtimo de terceros<\/strong>. <\/p>\n<blockquote><p>\u201cUna caracter\u00edstica distintiva de esta amenaza es que los atacantes prefieren utilizar software leg\u00edtimo de terceros en lugar de desarrollar sus propios binarios maliciosos\u201d<\/p><\/blockquote>\n<p>, coment\u00f3 Kaspersky. Se desconoce cu\u00e1nto tiempo ha estado activo este grupo, pero otra firma de ciberseguridad rusa, <strong>BI. ZONE<\/strong>, mencion\u00f3 en un informe del <strong>23 de noviembre<\/strong> que Rare Werewolf ha existido al menos desde <strong>2019<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Compromiso de Dispositivos por Librarian Ghouls El grupo de hackers Librarian Ghouls ha comprometido cientos de dispositivos en Rusia, utiliz\u00e1ndolos para minar criptomonedas en lo que parece ser un caso de cryptojacking, seg\u00fan la firma de ciberseguridad Kaspersky. Este grupo, tambi\u00e9n conocido como Rare Werewolf, obtiene acceso a los sistemas mediante correos electr\u00f3nicos de phishing que contienen malware disfrazado como mensajes de organizaciones leg\u00edtimas, tales como documentos oficiales o \u00f3rdenes de pago, seg\u00fan un informe de Kaspersky publicado el lunes. Los hackers recaban informaci\u00f3n de los dispositivos antes de proceder con la miner\u00eda. T\u00e9cnicas de Infecci\u00f3n y Control Una vez<\/p>\n","protected":false},"author":3,"featured_media":5600,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[6941,728,65,1339,697],"class_list":["post-5601","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-belarus","tag-gemini","tag-hack","tag-kaspersky","tag-kazakhstan"],"yoast_description":"El grupo de hackers Librarian Ghouls ataca dispositivos rusos mediante t\u00e9cnicas de phishing para llevar a cabo cryptojacking, minando criptomonedas y robando credenciales.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/5601","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/comments?post=5601"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/posts\/5601\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media\/5600"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/media?parent=5601"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/categories?post=5601"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/es\/wp-json\/wp\/v2\/tags?post=5601"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}