Ciberespionaje con sello estatal: TGR-STA-1030 opera con precisión tras eventos geopolíticos y compromete infraestructuras clave en Europa y el mundo

El actor, identificado como TGR-STA-1030 y atribuido a un Estado asiático, actúa con gran rapidez, llegando a ejecutar intrusiones pocos días después de acontecimientos geopolíticos clave.
Aunque los compromisos confirmados afectan a 37 países, Unit 42 detectó actividades de reconocimiento dirigidas a infraestructuras gubernamentales en más de 155 países, entre ellos España.
La campaña destaca por el uso de herramientas avanzadas y exclusivas, como ShadowGuard, un rootkit para Linux a nivel de kernel que permite ocultar procesos y actividad maliciosa, dificultando su detección incluso en entornos protegidos.

Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, ha publicado una investigación en profundidad que revela la actividad de TGR-STA-1030, un sofisticado actor de ciberespionaje alineado, con alta confianza, con un Estado asiático y activo a escala global. La investigación, denominada Shadow Campaigns, confirma que el grupo ha comprometido organismos gubernamentales e infraestructuras críticas en 37 países, lo que equivale a que casi uno de cada cinco países del mundo haya sufrido una brecha crítica atribuible a este actor en el último año.

En Europa, Unit 42 ha identificado compromisos confirmados en Alemania, Italia, Polonia, Portugal, República Checa, Serbia, Grecia y Chipre, afectando a ministerios, fuerzas de seguridad, organismos financieros y departamentos estratégicos. A finales de agosto, el grupo dirigió además su actividad hacia infraestructuras de la Unión Europea, intentando conectarse a más de 600 direcciones IP bajo dominios .europa.eu.

Entre las entidades comprometidas se encuentran cinco agencias nacionales de policía y control fronterizo, tres ministerios de finanzas y múltiples ministerios y departamentos de interior, exteriores, comercio, economía, energía, inmigración y recursos naturales. La campaña también ha afectado a infraestructuras críticas, incluidas telecomunicaciones y transporte, y, en al menos un caso, al parlamento de un país y a un alto cargo electo de otro Estado.

Además, durante los meses de noviembre y diciembre de 2025, Unit 42 detectó actividades de reconocimiento activo contra infraestructuras gubernamentales en 155 países, entre ellos España, lo que evidencia el alcance global y la ambición estratégica del grupo.

Un actor discreto, preciso y altamente efectivo

A diferencia de campañas masivas y automatizadas, TGR-STA-1030 opera con un enfoque de alta precisión, priorizando el acceso persistente a información sensible de alto valor estratégico frente al volumen de ataques. Unit 42 ha observado que el grupo combina phishing altamente personalizado, explotación de vulnerabilidades conocidas y herramientas desarrolladas a medida, con una capacidad de reacción estrechamente alineada con acontecimientos políticos, económicos o diplomáticos relevantes.

Para lograr el acceso inicial, el actor despliega campañas de phishing dirigidas a funcionarios y organismos gubernamentales que simulan comunicaciones internas creíbles, adaptadas al idioma, la nomenclatura y el contexto de cada país. Estas campañas se complementan con la explotación ágil de vulnerabilidades N-day en tecnologías ampliamente utilizadas por el sector público, como Microsoft Exchange, SAP, Atlassian y distintas soluciones de correo y gestión, sin que Unit 42 haya detectado el uso de vulnerabilidades zero-day.

Una vez comprometidos los sistemas, TGR-STA-1030 utiliza un loader ligero diseñado para evadir las defensas tradicionales, que mantiene un perfil bajo y reduce las probabilidades de detección. Este loader facilita la instalación de herramientas avanzadas de mando y control para el movimiento lateral y la persistencia, y se complementa con el uso exclusivo de ShadowGuard, un rootkit para Linux basado en eBPF que opera a nivel de kernel. Todo ello se apoya en una infraestructura global cuidadosamente diseñada para ocultar el origen de las operaciones, mediante servidores alojados en proveedores legítimos y el uso de relés, túneles cifrados y servicios de anonimización.