La campaña de ciberespionaje bautizada como “Ruby Jumper” demuestra que desenchufar una computadora de Internet ya no es suficiente para mantenerla a salvo de los hackers patrocinados por un estado.
La seguridad en entornos ultra-sensibles, donde las computadoras se mantienen desconectadas de cualquier red externa (una técnica conocida como Air-Gapping), acaba de sufrir un duro golpe estratégico. Hoy, 2 de marzo de 2026, se reporta que el temido grupo de hackers norcoreanos APT37 (también conocido bajo los seudónimos ScarCruft, Reaper y Group123) ha desplegado un arsenal de nuevas herramientas para vulnerar precisamente este tipo de sistemas.
El equipo de investigación descubrió en diciembre de 2025 esta sofisticada campaña, a la cual denominaron “Ruby Jumper”.
La Cadena de Infección: Desde un Enlace hasta el USB
El ataque no utiliza vulnerabilidades exóticas de zero-day, sino una ingeniería social y un encadenamiento de malware magistral:
- El Engaño Inicial: Todo comienza con un archivo de acceso directo malicioso (.LNK) que, al ser ejecutado por la víctima, corre un script de PowerShell para extraer cargas útiles ocultas.
- El Caballo de Troya en la Nube: Este proceso carga en la memoria un backdoor (puerta trasera) llamado RESTLEAF, el cual abusa del servicio legítimo de Zoho WorkDrive como su servidor de Comando y Control (C2), autenticándose con tokens codificados para descargar y ejecutar shellcode adicional.
- El Falso Entorno: Luego entra en juego la herramienta SNAKEDROPPER, que instala de forma encubierta un entorno de ejecución fraudulento de lenguaje Ruby, disfrazándolo hábilmente como una utilidad de USB.
Cruzando la Brecha Física: THUMBSBD y VIRUSTASK
Aquí es donde el ataque se vuelve fascinante y letal para las redes aisladas. Los atacantes despliegan dos herramientas especializadas para comprometer medios extraíbles:
- THUMBSBD: Este backdoor está diseñado específicamente para actuar como puente hacia las redes air-gapped usando unidades USB. Recopila diagnósticos de hardware, enumera todo el sistema de archivos y utiliza carpetas ocultas en los pendrives para pasar comandos y datos robados entre los sistemas aislados y los equipos infectados que sí tienen conexión a Internet.
- VIRUSTASK: Esta herramienta actúa como el agente de propagación. Su función es reemplazar los archivos legítimos en las unidades USB de la víctima por accesos directos maliciosos, infectando instantáneamente nuevas máquinas cuando los usuarios intentan hacer clic en ellos.
Espionaje Total: FOOTWINE y BLUELIGHT
Una vez que APT37 tiene el control de los equipos, despliegan su software de vigilancia pesada. Utilizan el backdoor FOOTWINE para registrar las pulsaciones del teclado (keylogging) y capturar audio y video del usuario.
Paralelamente, exfiltran toda esa información a través de BLUELIGHT, un backdoor previamente documentado que se esconde a plena vista abusando de proveedores en la nube altamente confiables como Google Drive, Microsoft OneDrive, pCloud y BackBlaze para disfrazar sus comunicaciones C2.
La advertencia para la industria es clara: Si tu organización gestiona infraestructura crítica y dependes exclusivamente de la desconexión física de la red como medida de seguridad, estás subestimando a los actores estatales. Es perentorio implementar un monitoreo agresivo sobre la actividad de los endpoints y los puntos de acceso físico.
