El grupo APT capaz de infiltrarse en entornos monitorizados

La evolución técnica del grupo de APT (amenaza persistente avanzada) ToddyCat ilustra el modo en que se refinan las capacidades de infiltración, pese a que, en su caso y de momento, no ha actuado en España, aunque sí en países como Reino Unido. Kaspersky explica que ya cuando empezaron a seguir a este grupo en 2023 era muy capaz de realizar infiltraciones persistentes y movimientos laterales.

Detectaron de nuevo su actividad entre 2024 y 2025, la última campaña conocida que han realizado. En ese breve lapso de tiempo, “ToddyCat ha afinado aún más sus métodos para infiltrarse en redes corporativas, robar información privada y evadir las herramientas de detección de las empresas”. Entre otras cosas, destaca una versión de la herramienta TomBerBil, que aprovecha accesos compartidos en la red corporativa para recopilar datos guardados en los navegadores y capturar claves.

Si las herramientas de seguridad lo bloquean, cambia de táctica para usar TCSectorCopy, otra herramienta que puede copiar archivos del sistema aunque estén en uso. Además de robar datos almacenados, el grupo accede al correo web de plataformas como Microsoft 365 robando los tokens almacenados en la memoria del ordenador mientras se utilizan esas aplicaciones.

Todo ello de forma tan sigilosa que pueden hacerlo incluso en entornos monitorizados. Andrey Gunkin, senior malware analyst de Kaspersky, considera que “ToddyCat está demostrando una capacidad notable para reinventar sus métodos y esquivar los sistemas de defensa de las organizaciones. Utilizan una combinación de herramientas propias y legítimas, y saben elegir bien el momento y lugar para actuar con sigilo”.