APT24 utiliza malware Badaudio en campaña de espionaje que dura años

APT24 implementa malware ‘BadAudio’ en una campaña de ciberespionaje prolongada

Un equipo avanzado de amenazas persistentes (APT), identificado como APT24, ha desplegado un malware denominado ‘BadAudio’ a lo largo de varios años en una compleja campaña de ciberespionaje dirigida principalmente a entidades gubernamentales y organizaciones estratégicas. Esta operación ha evidenciado un alto nivel de sofisticación técnica y una persistencia significativa, poniendo en jaque la seguridad de infraestructuras críticas en múltiples niveles.

Perfil y objetivos del grupo APT24

APT24 es un actor de amenaza que opera con motivaciones típicas de ciberespionaje estatal o geopolítico. Sus acciones se enfocan en recolectar inteligencia sensible mediante técnicas avanzadas y operaciones de largo plazo. Entre sus objetivos se encuentran agencias gubernamentales, infraestructuras tecnológicas clave y sectores con información de valor estratégico.

El despliegue de ‘BadAudio’ evidencia no solo el alcance, sino la capacidad de APT24 para mantener accesos a redes comprometidas durante años sin ser detectados, señalando una planificación y ejecución meticulosa.

Características técnicas del malware ‘BadAudio’

BadAudio es un malware modular y altamente adaptable, diseñado para la recopilación sigilosa de datos y la exfiltración de información. Entre sus particularidades técnicas destacan:

Utilización de canales de comunicación cifrados para enviar información hacia servidores de comando y control (C2).
Capacidad para evadir detecciones mediante técnicas avanzadas de ofuscación y persistencia.
Funcionalidad para captar datos mediante audio, aprovechando los dispositivos de micrófono de los sistemas comprometidos.
Arquitectura diseñada para operar en sistemas Windows, con potencial para extensiones futuras a otras plataformas.

Estos componentes técnicos permiten a BadAudio recopilar inteligencia de alto valor sin alertar a las defensas cibernéticas convencionales.

Modus operandi y fases de la campaña

La operación de APT24 con BadAudio sigue un enfoque estratégico dividido en múltiples etapas:

Intrusión inicial: mediante phishing dirigido y vulnerabilidades en software, el grupo logra acceder a las redes objetivo.
Implantación del malware: BadAudio se instala de manera oculta, estableciendo persistencia para garantizar la permanencia en el sistema.
Recolección de información: el malware monitorea y graba audio ambiental, ejecuta comandos remotos para extracción de datos y recogida de artefactos documentales.
Exfiltración segura: empleando canales cifrados, se transmiten los datos hacia servidores remotos controlados por los operadores de la amenaza.

La campaña se ha caracterizado por su sigilo y capacidad para evadir contramedidas durante un período prolongado, confirmando que APT24 posee inteligencia operativa avanzada y recursos significativos.

Impacto en la ciberseguridad y recomendaciones

La persistencia de APT24 usando BadAudio resalta la necesidad urgente de fortalecer mecanismos de defensa en entornos críticos. La combinación de ataques sigilosos con técnicas de exfiltración multimedia introduce nuevos vectores de riesgo poco explorados. Se recomienda:

Implementar sistemas de monitoreo y detección de anomalías específicas en canales de audio y micrófonos.
Revisar y actualizar políticas de seguridad sobre accesos y permisos a recursos audiovisuales.
Adoptar soluciones avanzadas de análisis de tráfico cifrado y análisis forense digital para identificar patrones inusuales.
Capacitar equipos de seguridad y realizar auditorías periódicas para asegurar la detección temprana de amenazas persistentes.

La comunidad de ciberseguridad debe prestar especial atención a la evolución de estas técnicas y mantener una postura proactiva ante ataques que combinan espionaje tradicional y tecnologías multimedia.

Fuente: https://thehackernews.com/2025/11/apt24-deploys-badaudio-in-years-long.html

← Por qué los administradores de TI prefieren Samsung para dispositivos móviles en 2025 SEC abandona el caso SolarWinds tras años de investigaciones sin resultados concluyentes →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil