Los hackers patrocinados por el estado están abandonando sus virus personalizados para unirse a cárteles de “Ransomware-as-a-Service” (RaaS). Escuelas para niños con autismo y centros de salud mental están entre sus presas.
Las reglas no escritas del cibercrimen (como evitar atacar infraestructuras médicas críticas) no significan nada para los hackers patrocinados por el estado. Hoy 24 de febrero de 2026, que el infame y temido Lazarus Group (vinculado a Corea del Norte) ha sido sorprendido utilizando el letal ransomware Medusa en nuevas campañas de extorsión.
Una investigación conjunta de equipos de amenazas reveló que el grupo atacó recientemente a una entidad en el Medio Oriente y lanzó una ofensiva (afortunadamente infructuosa) contra una organización de atención médica en los Estados Unidos.
Un Cambio de Estrategia: Pragmatismo sobre Desarrollo Propio
Históricamente, los subgrupos de Lazarus (como Andariel o Moonstone Sleet) invertían tiempo y recursos en crear sus propias familias de ransomware exclusivas, como Maui, H0lyGh0st o FakePenny. Sin embargo, este informe confirma un giro táctico radical: ahora prefieren actuar como “afiliados” de redes criminales ya establecidas (Ransomware como Servicio).
- “La motivación es muy probablemente el pragmatismo”, explicó Dick O’Brien, analista principal de inteligencia de Symantec. “¿Por qué tomarse la molestia de desarrollar tu propia carga útil cuando puedes usar una amenaza probada y comprobada como Medusa o Qilin? Han decidido que los beneficios superan los costos de pagar tarifas a los creadores del virus”.
Las Víctimas: Objetivos de Alta Vulnerabilidad
El sitio de filtraciones de la red Medusa pinta un panorama desolador de las actividades recientes. Desde noviembre de 2025, el cártel ha atacado al menos a cuatro organizaciones sin fines de lucro y de atención médica en Estados Unidos. Entre las víctimas confirmadas se encuentran una organización sin fines de lucro del sector de la salud mental y un centro educativo para niños autistas. La demanda promedio de rescate que Lazarus y la red Medusa exigen a estas instituciones vulnerables ronda los 260,000 dólares.
El Arsenal Empleado
Aunque el ransomware final (Medusa) es de terceros, el camino para infiltrarlo sigue teniendo la firma técnica indiscutible de Corea del Norte. Los investigadores descubrieron que Lazarus utilizó un kit de herramientas combinadas en estos ataques:
- Comebacker & BLINDINGCAN: Puertas traseras y troyanos de acceso remoto (RATs) exclusivos del grupo para afianzarse en la red.
- InfoHook: Un ladrón de información altamente personalizado.
- ChromeStealer y Mimikatz: Herramientas para extraer contraseñas guardadas en los navegadores y volcar credenciales de la memoria del sistema.
- RP_Proxy: Una utilidad de red personalizada para ocultar el origen de su tráfico.
La Cruda Realidad
Mientras algunas bandas de cibercriminales tradicionales afirman (a menudo falsamente) que evitan los hospitales para no atraer la ira de los gobiernos o por un mínimo sentido de la moralidad, Lazarus opera sin ningún tipo de restricción. La maquinaria de ciberdelincuencia de Pyongyang sigue recaudando fondos para el régimen a costa de cualquier objetivo, sin importar el daño colateral humano.
