Se informa sobre las actividades recientes del grupo de ciberespionaje ToddyCat, que entre mayo de 2024 y principios de 2025 ha implementado técnicas avanzadas para el robo de correos electrónicos corporativos y tokens de autenticación OAuth 2.0 en entidades gubernamentales y militares de Europa y Asia. Los reportes más recientes de Kaspersky (noviembre 2025) documentan el uso activo de herramientas personalizadas como TCSectorCopy para extracción de archivos OST de Outlook, TomBerBil PowerShell ejecutándose desde controladores de dominio para robo de credenciales de navegadores, y SharpTokenFinder para captura de tokens JWT de aplicaciones Microsoft 365.
Las campañas de ToddyCat se caracterizan por su sofisticación técnica y persistencia, utilizando múltiples vectores de ataque que incluyen la explotación histórica de servidores Microsoft Exchange mediante ProxyLogon, el compromiso de controladores de dominio con privilegios elevados, y técnicas de acceso a nivel de sector para eludir mecanismos de protección convencionales. Como parte de su arsenal, el grupo también explotó CVE-2024-11859 en ESET Command Line Scanner (parcheada en enero 2025, actualización pública abril 2025) para desplegar el malware TCESB mediante técnicas de DLL proxying y BYOVD (Bring Your Own Vulnerable Driver).
-Dec-23-2025-09-14-31-5324-AM.jpg)
