19 de diciembre: según un analista de ciberseguridad, las empresas de tecnología rusas que trabajan en defensa aérea, electrónica sensible y otras aplicaciones de defensa han sido atacadas en las últimas semanas por un grupo de ciberespionaje que utiliza documentos señuelo generados por IA.
El descubrimiento de la firma de ciberseguridad Intezer muestra cómo las herramientas de inteligencia artificial pueden usarse fácilmente para operaciones de alto riesgo, dijo la investigadora senior de seguridad Nicole Fishbein, y ofrece una mirada poco común a las campañas de piratería informática dirigidas a entidades rusas.
La campaña, que no se había informado anteriormente, es probablemente obra de un grupo identificado como “Hombre lobo de papel” o GOFFEE, dijo Fishbein, un grupo de piratería activo desde 2022 que se cree ampliamente que es proucraniano y que ha centrado casi todos sus esfuerzos en objetivos rusos.
El hackeo también sugiere cuán agresivamente Ucrania y sus aliados están buscando ventajas militares en la guerra, incluidos ataques con aviones no tripulados a empresas de la cadena de suministro de defensa en los últimos meses. Y se produce mientras continúan las delicadas conversaciones sobre un posible fin de la guerra de Rusia en Ucrania, con Moscú amenazando con tomar más territorio por la fuerza si Kiev y sus aliados europeos no se comprometen con las propuestas de paz de Estados Unidos.
La campaña de piratería se dirigió a varias empresas rusas, según presuntos documentos señuelo generados por IA descubiertos por Fishbein, autor principal de un análisis preparado por Integer.
Las embajadas de Rusia y Ucrania en Washington no respondieron a solicitudes de comentarios.
La campaña de piratería se construye utilizando herramientas de inteligencia artificial accesibles.
En un caso, el documento aparentemente generado por IA podría ser una invitación escrita en ruso para un concierto para funcionarios de alto rango. En otro caso, se envió un documento del Ministerio de Industria y Comercio de la Federación de Rusia, que buscaba justificar el precio según las regulaciones gubernamentales en materia de fijación de precios, según el análisis.
Fishbein dijo que la operación representaba una oportunidad única para probar un ataque contra una entidad rusa. “Esto no se debe necesariamente a que estos ataques sean raros, sino a que la visibilidad de ellos es limitada”, afirmó.
El uso por parte del grupo de documentos señuelo generados por IA también muestra cómo “las herramientas de IA accesibles pueden reutilizarse para objetivos maliciosos”, dijo Fishbein. “Muestra cómo las tecnologías emergentes pueden reducir las barreras a ataques sofisticados y por qué el abuso, no la tecnología en sí, sigue siendo el problema clave”.
Los objetivos, que son todos importantes contratistas de defensa, indican el amplio interés de los atacantes en la industria militar rusa, dijo el investigador ruso de política cibernética Oleg Shakirov, mientras que el acceso potencial a los contratistas “podría dar visibilidad a la producción de todo, desde miras hasta sistemas de defensa aérea, pero también a las cadenas de suministro de defensa y los procesos de I+D”.
“(No hay) nada inusual en que hackers proucranianos intenten espiar a las agencias de defensa rusas durante la guerra”, añadió Shakirov, al tiempo que sugiere que el hombre lobo de papel podría ampliar sus objetivos a otros sectores más allá de las agencias gubernamentales, la energía, las finanzas y las telecomunicaciones.
Al atribuir la operación de Intezer a Paper Werewolf, basándose en la infraestructura que respalda el esfuerzo, explotando vulnerabilidades de software particulares y cómo se crearon los documentos, Fishbein dijo que era una pregunta abierta si los piratas informáticos estaban trabajando con un estado-nación específico u otro grupo de piratas informáticos.
Otros, sin embargo, han sugerido un vínculo entre el grupo y otros conocidos esfuerzos de piratería proucranianos. Un informe de septiembre de 2025 publicado por la empresa rusa de ciberseguridad Kaspersky sugirió que Paper Werewolf tiene una posible superposición con Cloud Atlas, un grupo de piratería proucraniano que se remonta a más de una década. Según la firma de ciberseguridad Check Point, se sabe que el grupo apunta a entidades prorrusas en Europa del Este y Asia Central. Reuters
