El Google Threat Intelligence Group (GTIG) ha publicado un informe en el que documenta un aumento sostenido de campañas de ciberespionaje patrocinadas por estados como China, Rusia, Corea del Norte e Irán contra la industria de defensa de Estados Unidos, la Unión Europea y sus aliados. El documento describe un “bombardeo implacable” de operaciones dirigidas no solo a redes corporativas, sino directamente a empleados individuales, sus dispositivos personales y los procesos de contratación remota.
La principal novedad, según Google, es el desplazamiento del foco hacia la denominada “capa humana”: correos personales, móviles privados y entornos domésticos menos protegidos que las infraestructuras empresariales tradicionales.
Corea del Norte: infiltraciones laborales y declaraciones públicas
El informe dedica un apartado destacado a Corea del Norte. Según Google, operativos vinculados al régimen lograron infiltrarse en empresas estadounidenses haciéndose pasar por trabajadores remotos de TI, utilizando identidades robadas o creadas artificialmente.
En paralelo, algunas de estas personas implicadas en el esquema llegaron a afirmar públicamente —según recogen investigaciones judiciales en EE. UU.— que trabajaban como desarrolladores o especialistas tecnológicos para compañías occidentales sin revelar su vinculación real con redes organizadas. Las autoridades estadounidenses sostienen que esas identidades encubrían un sistema estructurado cuyo objetivo era generar ingresos para el régimen y acceder a información sensible.
En junio de 2025, el Departamento de Justicia de EE. UU. realizó registros en 29 ubicaciones de 16 estados en el marco de la investigación sobre las llamadas “granjas de portátiles” (laptop farms). Se incautaron cerca de 200 ordenadores, cuentas bancarias y dominios fraudulentos. En al menos un caso, los infiltrados accedieron a tecnología de inteligencia artificial y datos regulados bajo normativa ITAR de un contratista de defensa en California.
Según las autoridades estadounidenses, el esquema habría generado millones de dólares en ingresos ilícitos.
China: explotación de vulnerabilidades y phishing personalizado
Google sitúa a los grupos chinos como los más activos por volumen de operaciones. Desde 2020, habrían explotado más de dos docenas de vulnerabilidades zero-day en dispositivos de red como VPNs, routers y firewalls de múltiples fabricantes.
Además, se detectan campañas de phishing altamente personalizadas dirigidas a cuentas personales de empleados de defensa, con referencias a su entorno geográfico o profesional para aumentar la tasa de éxito.
Rusia: espionaje en comunicaciones militares
En el caso ruso, el informe documenta un refuerzo de las operaciones contra personal militar ucraniano y contratistas vinculados a tecnologías de drones y sistemas no tripulados. Entre las tácticas identificadas figura el uso de códigos QR maliciosos que explotan la función de “dispositivos vinculados” en aplicaciones de mensajería como Signal o Telegram para interceptar comunicaciones en tiempo real.
El grupo Sandworm (APT44), vinculado al GRU ruso, aparece señalado como uno de los actores clave en estas operaciones. También se han detectado campañas de suplantación de páginas web de contratistas de defensa en varios países occidentales con el objetivo de recolectar credenciales.
Irán: portales de empleo falsos y reclutadores ficticios
En relación con Irán, Google señala el uso de portales de empleo falsos y correos electrónicos que simulan procesos de selección en empresas aeroespaciales y del sector de drones. El objetivo es obtener credenciales de acceso o identificar perfiles estratégicos dentro de la cadena de suministro de defensa.
El informe concluye que el ciberespionaje estatal ha evolucionado desde ataques centrados en infraestructuras corporativas hacia la explotación sistemática de la confianza humana. Correos personales, procesos de selección remota y dispositivos no gestionados por las empresas se han convertido en vectores prioritarios.
