Amazon atribuye al GRU ruso una campaña prolongada contra infraestructura energética y servicios en la nube
Amazon reveló la existencia de una campaña cibernética de largo plazo dirigida contra infraestructura energética occidental y entornos cloud, atribuida con alta confianza al servicio de inteligencia militar ruso (GRU). La operación se ha mantenido activa durante varios años y combina espionaje persistente con el abuso sistemático de dispositivos de borde y servicios hospedados en la nube.
El hallazgo refuerza las advertencias sobre el papel de la infraestructura digital como campo de batalla estratégico en el actual contexto geopolítico.
Operación vinculada a Sandworm (APT44)
De acuerdo con el equipo de Amazon Threat Intelligence y AWS, la campaña se atribuye al grupo APT44, también conocido como Sandworm, FROZENBARENTS, Seashell Blizzard o Voodoo Bear. Este actor ha sido históricamente asociado al GRU y a operaciones de alto impacto contra infraestructura crítica.
El reporte describe una actividad sostenida al menos entre 2021 y 2025, con un enfoque constante en Norteamérica y Europa, particularmente en:
-
Operadores del sector energético
-
Empresas de petróleo y gas
-
Proveedores de telecomunicaciones
-
Organizaciones clave dentro de la cadena de suministro
Dispositivos de borde: el vector preferido
Más que depender exclusivamente de exploits sofisticados, los atacantes han priorizado un enfoque pragmático y persistente: el compromiso de dispositivos de borde mal configurados.
Entre los objetivos recurrentes se encuentran:
-
Routers empresariales
-
Concentradores VPN
-
Gateways de acceso remoto
-
Appliances de administración de red
-
Equipos virtuales desplegados en AWS y otros entornos cloud
Aunque se documenta el uso de vulnerabilidades conocidas y de día cero, Amazon subraya que el principal vector de acceso son configuraciones inseguras, que facilitan persistencia con una huella forense mínima y reducen la probabilidad de detección temprana.
Abuso de credenciales y servicios corporativos
El informe también detalla el uso de ataques de replay de credenciales contra servicios corporativos y plataformas colaborativas. Esta táctica permite a los atacantes integrarse silenciosamente en flujos de trabajo legítimos, prolongando el espionaje y ampliando su visibilidad sobre redes híbridas.
Para entornos cloud, este enfoque representa un riesgo particular: la frontera entre infraestructura local y servicios hospedados se vuelve difusa, ampliando la superficie de ataque sin necesidad de comprometer directamente cuentas cloud.
Riesgos para energía e infraestructura crítica
Los accesos observados permiten espionaje prolongado, mapeo detallado de redes y, potencialmente, la capacidad de ejecutar acciones disruptivas en momentos estratégicos. Amazon señala además la superposición de infraestructura con el clúster conocido como “Curly COMrades”, lo que sugiere operaciones coordinadas o complementarias dentro de un esfuerzo más amplio del GRU contra objetivos occidentales.
Este patrón refuerza la preocupación sobre campañas de preposicionamiento, diseñadas para habilitar impactos futuros más allá del espionaje inmediato.
Respuesta de Amazon y medidas defensivas
Amazon aseguró que está interrumpiendo de manera continua la infraestructura maliciosa, bloqueando intentos de autenticación sospechosos dirigidos a servicios de AWS. La compañía afirmó no tener evidencia de accesos exitosos a cuentas cloud de clientes como resultado directo de esta campaña.
No obstante, el proveedor exhorta a organizaciones de energía e infraestructuras críticas a tomar medidas inmediatas, entre ellas:
-
Auditar y endurecer configuraciones de dispositivos de borde
-
Corregir exposiciones en routers, VPNs y gateways
-
Habilitar autenticación multifactor (MFA) en todos los accesos administrativos
-
Vigilar accesos anómalos a portales de gestión
-
Detectar y bloquear reutilización de credenciales comprometidas
Una advertencia para redes híbridas y cloud
El reporte de Amazon confirma una tendencia clave: la nube ya no es solo un objetivo, es un amplificador del alcance operativo. El abuso de configuraciones débiles en dispositivos perimetrales convierte a la infraestructura híbrida en un punto crítico de exposición.