El grupo de hackers conocido como Librarian Ghouls, también identificado como Rare Werewolf, ha comprometido cientos de dispositivos en Rusia en una campaña activa de criptojacking, según un informe de la firma de ciberseguridad Kaspersky. El ataque, en curso desde diciembre de 2024, afecta principalmente a instituciones industriales y educativas, y también ha alcanzado objetivos en Bielorrusia y Kazajistán.
La campaña se inicia con correos electrónicos de phishing cuidadosamente disfrazados como mensajes legítimos de organizaciones rusas, con archivos adjuntos que simulan ser órdenes de pago o documentos oficiales. Una vez que el malware se instala, los atacantes desactivan herramientas de seguridad como Windows Defender y establecen acceso remoto al dispositivo.
El software malicioso activa los equipos entre la 1 y las 5 de la madrugada, una franja en la que los hackers extraen credenciales, recopilan información sobre los recursos del sistema (RAM, CPU, GPU) y configuran el minero de criptomonedas para operar sin levantar sospechas.
Según Kaspersky, el malware mantiene comunicación con un grupo de minería, enviando datos cada 60 segundos, lo que indica un control constante sobre los sistemas comprometidos.
Indicios de hacktivismo de Librarian Ghouls
Aunque aún no se ha identificado el origen del grupo, Kaspersky señala que los correos de phishing están redactados en ruso, al igual que los nombres de archivo y documentos señuelo, lo que sugiere que los principales objetivos hablan ruso o se encuentran en Rusia.
La empresa también plantea la hipótesis de que los Librarian Ghouls podrían ser hacktivistas, basándose en su uso de software legítimo de terceros, una táctica frecuente entre grupos con motivaciones políticas. Estas acciones se enmarcarían más en una forma de desobediencia civil digital que en ataques puramente económicos.
Kaspersky advierte que el grupo está perfeccionando constantemente sus métodos, combinando exfiltración de datos, herramientas de acceso remoto y técnicas avanzadas de phishing. La campaña sigue activa, y la empresa recomienda extremar las precauciones, especialmente en sectores sensibles como la industria y la educación técnica.
El caso pone de manifiesto cómo el criptojacking ha evolucionado de una amenaza menor a una herramienta compleja para el espionaje digital y la presión política, con un impacto creciente en infraestructuras críticas.
