Un nuevo grupo de ciberespionaje respaldado por el Estado ruso, identificado como Laundry Bear, ha sido vinculado oficialmente a una violación de seguridad que afectó a la policía nacional de los Países Bajos en septiembre de 2024. Este grupo, también conocido por Microsoft como Void Blizzard, ha llamado la atención de las agencias de inteligencia europeas por sus operaciones dirigidas a objetivos estratégicos en la Unión Europea y la OTAN.
La violación de seguridad a la policía holandesa
El incidente fue revelado inicialmente por la Politie, la policía nacional neerlandesa, y confirmado en mayo de 2025 por una investigación conjunta del Servicio General de Inteligencia y Seguridad de los Países Bajos (AIVD) y el Servicio de Inteligencia y Seguridad de Defensa de los Países Bajos (MIVD). Según el informe, Laundry Bear logró acceder a la cuenta de un empleado de la policía y robó datos sensibles a través de la Lista Global de Direcciones (GAL), una función comúnmente utilizada en entornos corporativos para acceder a información de contacto organizacional.
Entre los datos sustraídos se encuentran nombres completos, direcciones de correo electrónico, números de teléfono profesionales y, en algunos casos, información personal de los agentes afectados. Esta exposición representa un riesgo significativo, tanto para la seguridad de los oficiales como para la operatividad de las fuerzas del orden.
Técnicas utilizadas: ataques basados en cookies robadas
Los investigadores señalaron que el método utilizado por Laundry Bear fue un sofisticado ataque de tipo “pass-the-cookie”. En lugar de obtener credenciales a través de phishing o fuerza bruta, los atacantes se valieron de cookies de sesión robadas mediante malware del tipo infostealer, que posteriormente fueron adquiridas en mercados clandestinos.
Con una cookie de sesión válida, el actor de amenazas pudo suplantar al usuario legítimo sin necesidad de nombre de usuario ni contraseña. Esta técnica les permitió eludir múltiples capas de autenticación y acceder directamente a los recursos internos.
Objetivos y motivaciones del grupo
Según el vicealmirante Peter Reesink, director del MIVD, Laundry Bear mantiene un interés particular en recopilar información relacionada con la producción y adquisición de equipamiento militar por parte de gobiernos occidentales, así como las entregas de armamento a Ucrania. Esto coloca al grupo en línea con los intereses estratégicos de Rusia en el contexto del conflicto geopolítico actual.
Laundry Bear representa una amenaza significativa no solo por su capacidad técnica, sino por su enfoque altamente dirigido hacia organizaciones gubernamentales, entidades militares y sectores críticos.
Un grupo persistente y bien organizado
Microsoft, que rastrea al grupo bajo el nombre Void Blizzard, afirma que sus operaciones comenzaron al menos en abril de 2024. Desde entonces, se han centrado en comprometer infraestructuras en Ucrania y en países miembros de la OTAN. Los sectores más frecuentemente atacados incluyen:
-
Gobiernos nacionales y locales
-
Defensa y aviación
-
Transporte
-
Medios de comunicación
-
ONG y organizaciones internacionales
-
Servicios sanitarios
Las tácticas de Laundry Bear incluyen el uso de correos de spear-phishing personalizados, credenciales robadas y herramientas de acceso remoto (RAT) para mantener persistencia dentro de las redes comprometidas. Una vez dentro, los atacantes extraen correos electrónicos, documentos y archivos confidenciales que luego son utilizados para fines de inteligencia estratégica.
Operaciones anteriores y vínculos con otros grupos APT
En octubre de 2024, Laundry Bear también logró comprometer cuentas de usuario de una entidad de aviación ucraniana, la misma que fue atacada en 2022 por el grupo APT44 (también conocido como Seashell Blizzard), vinculado a la inteligencia militar rusa (GRU). Esta coincidencia sugiere posibles coordinaciones entre distintos grupos APT rusos, lo que refuerza la hipótesis de una estrategia de ciberespionaje estatal orquestada.
Recomendaciones para organizaciones vulnerables
Frente a amenazas persistentes avanzadas como Laundry Bear, los expertos en ciberseguridad recomiendan:
-
Implementar autenticación multifactor (MFA) para todos los accesos a sistemas críticos.
-
Supervisar activamente las sesiones activas de usuario y la actividad inusual.
-
Limitar el tiempo de vida de las cookies de sesión y aplicar controles basados en IP o geolocalización.
-
Emplear soluciones EDR (detección y respuesta en endpoints) para identificar y neutralizar malware infostealer.
-
Llevar a cabo auditorías periódicas de seguridad y simulacros de respuesta a incidentes.
En fin, el caso de Laundry Bear subraya el papel clave del ciberespionaje en la guerra moderna, donde actores estatales utilizan técnicas avanzadas para infiltrar instituciones clave de los países occidentales. El incidente con la policía holandesa no solo expone fallas técnicas, sino también la necesidad urgente de fortalecer los mecanismos de protección, detección y respuesta ante amenazas dirigidas.
En un entorno donde la guerra de la información es tan crítica como la militar, las organizaciones europeas y aliadas deben asumir que serán blanco de ataques similares y prepararse en consecuencia. La colaboración entre agencias de inteligencia, empresas de ciberseguridad y gobiernos será esencial para mitigar los riesgos y proteger datos sensibles frente a grupos como Laundry Bear.
Fuente: Bleeping Computer
