Cozy Bear: quiénes son y cómo actúa uno de los grupos de ciberespionaje más avanzados del mundo

Los grupos de amenazas avanzadas (APT) han redefinido el panorama del ciberespionaje moderno, y entre todos ellos, Cozy Bear (APT29/Nobelium) —asociado al SVR ruso— destaca como uno de los actores más sofisticados, persistentes y difíciles de detectar. 

Su actividad continuó evolucionando en 2025, con operaciones cada vez más discretas, modulares y orientadas al espionaje estratégico.

Comprender su forma de operar no es solo un ejercicio de análisis técnico: es una necesidad urgente para cualquier organización que quiera proteger su superficie de ataque frente a campañas avanzadas, especialmente aquellas que afectan a cadenas de suministro, entidades gubernamentales y proveedores tecnológicos.

En este artículo analizamos quién es Cozy Bear, sus métodos, sus ataques más relevantes y, sobre todo, cómo detectar y mitigar actividades relacionadas con este actor de forma eficaz.

¿Quién es Cozy Bear? Relación con APT29 y Nobelium

Principales alias del grupo

Cozy Bear ha recibido múltiples denominaciones según la entidad que haya analizado la campaña: APT29, Nobelium, The Dukes, CozyDuke, Dark Halo… Todos estos alias describen a un mismo actor con capacidades avanzadas en operaciones de ciberespionaje sigiloso.

Esta fragmentación nominal es relevante desde el punto de vista del threat intelligence, ya que cada nombre suele asociarse a campañas, TTPs y vectores distintos, obligando a correlacionar datos para obtener una visión consolidada. 

En contextos de investigación interna —como ocurre en los servicios de Threat Intelligence de S2GRUPO— es habitual fusionar estas referencias para trazar patrones evolutivos del actor.

Origen y vinculación con la inteligencia rusa

APT29 se vincula operativamente con el servicio de espionaje exterior ruso (SVR). Su actividad se orienta a obtener inteligencia estratégica en áreas como política exterior, defensa, tecnología crítica, investigación biomédica o infraestructuras de carácter nacional.

Sus ataques destacan por:

• Sigilo extremo
• Persistencia a largo plazo
• Uso de malware modular
• Cadenas de ataque difíciles de atribuir

Un elemento importante de su modus operandi es la inversión en herramientas propias, muy alejadas del malware commodity. Esto explica por qué resulta tan difícil detectar sus artefactos, gran parte del código no existe en repositorios públicos ni coincide con muestras previamente catalogadas.

En este contexto cobra especial relevancia el último hallazgo de S2GRUPO: Easter Bunny, uno de los artefactos de espionaje más sofisticados detectados hasta la fecha y atribuido a APT29. Se trata de una pieza especialmente diseñada para pasar desapercibida, que refleja la evolución de las operaciones de inteligencia ofensiva y el alto nivel de especialización que están alcanzando este tipo de amenazas.

Si quieres profundizar en el análisis, puedes suscribirte a la Bitácora de lo Invisible, una serie en la que compartimos paso a paso la investigación realizada por nuestros equipos, los métodos empleados y el conocimiento obtenido durante el proceso de análisis.

Técnicas y tácticas más utilizadas por Cozy Bear

Métodos de intrusión y phishing avanzado

APT29 destaca por su capacidad de ingeniería social altamente dirigida. A diferencia de campañas masivas, su phishing se basa en:

• Correos personalizados, construidos tras un trabajo previo de reconocimiento profundo.
• Compromiso de servicios legítimos, como proveedores externos o plataformas de productividad.
• Autenticación multifactor comprometida (MFA bypass) mediante técnicas de token abuse o device enrollment.

Es especialmente relevante el uso de correos empleando temáticas del ámbito diplomático, suplantando actividad de embajadas, alineándose con los intereses de sus objetivos y aumentando la probabilidad de efectividad.

Estas campañas frecuentemente derivan en el robo de credenciales, uso de OAuth o compromiso de servicios cloud.

Uso de malware y herramientas personalizadas

El arsenal de Cozy Bear se caracteriza por desarrollos propios, compilados para cada campaña, y altamente modulares. Algunas de sus capacidades incluyen:

• Loaders diseñados para inyectar payloads en memoria.
• Backdoors ligeros que se actualizan dinámicamente.
• Herramientas específicas para exfiltración sigilosa.
• Implantes capaces de convivir durante meses en sistemas críticos.

Este es el caso de Easter Bunny, identificado por nuestro equipo de expertos, cuya estructura modular permite a los operadores seleccionar funcionalidades de forma granular (recolección, pivoting, exfiltración). 

Para entender mejor cómo funcionan estas amenazas, recomendamos nuestra guía técnica sobre malware avanzado, donde se muestran patrones comunes en campañas complejas: 

¡Descúbrela aquí: Análisis de MetaStealer 2025! 

Así como la suscripción a la ya mencionada Bitácora de lo Invisible, que a través de diversas entregas reconstruye el proceso real de investigación detrás del implante más sofisticado de APT29.

Evasión, persistencia y técnicas “living off the land” (LOTL)

APT29 es uno de los grupos que más abusa de técnicas LOTL, lo que le permite:

• Minimizar el uso de binarios maliciosos en disco.
• Aprovechar herramientas del propio sistema (PowerShell, WMI…) para ejecutar acciones.
• Difuminar cualquier rastro en los registros tradicionales.
• Utilizar canales cifrados o encubiertos para exfiltrar datos.

En entornos donde el SIEM no correlaciona eventos basados en comportamiento, estas técnicas pasan desapercibidas. 

Si te interesa profundizar en cómo detectar este tipo de ataques, puedes consultar nuestra guía sobre ataques persistentes avanzados.

Ataques atribuidos a Cozy Bear

El ataque a SolarWinds

El caso SolarWinds continúa siendo el referente para comprender el nivel operativo de este actor. 

Su importancia radica en que no se trató de un simple compromiso: fue una operación de Supply Chain cuidadosamente diseñada, donde los atacantes modificaron el proceso de compilación del software legítimo.

Puntos clave del ataque:

• Compromiso de la cadena de suministro.
• Distribución de actualizaciones firmadas y legítimas.
• Persistencia prolongada sin detección.
• Selección quirúrgica de víctimas.

Este ataque evidenció que APT29 es capaz de explotar vectores no convencionales, combinando intrusión, sabotaje de procesos internos y técnicas de sigilo extremo.

Campañas de ciberespionaje gubernamentales

APT29 mantiene un foco constante en entidades gubernamentales, organismos internacionales y empresas tecnológicas estratégicas. 

Algunas características comunes de estas campañas son:

• Acceso inicial mediante credenciales robadas, compromiso de la cadena de suministro o phishing. 
• Persistencia basada en servicios cloud.
• Uso de implantes de segunda fase extremadamente discretos.
• Exfiltración en volúmenes pequeños y continuados.

Por qué Cozy Bear es considerado uno de los APT más sofisticados

Nivel técnico y capacidad operativa

Cozy Bear no solo utiliza malware avanzado, sino que adapta su infraestructura, sus TTPs y su cadena de ataque en función del objetivo. Entre sus capacidades más destacadas se encuentran:

• Desarrollo constante de nuevos artefactos.
• Adaptación rápida a nuevas medidas de seguridad.
• Técnicas avanzadas de cifrado y esteganografía.
• Operadores con alta autonomía táctica.

A diferencia de otros actores, su prioridad no es la velocidad, sino el sigilo y la permanencia. 

Así lo ha comprobado LAB52 en la investigación que les llevó a descubrir Easter Bunny. Todo empezó con un archivo aparentemente legítimo, que no estaba en ninguna base pública, no mostraba lógica aparente y estaba diseñado para pasar inadvertido. 

Adaptabilidad y evolución en campañas recientes

En 2024 y 2025 se observa una tendencia clara hacia:

• Implantes extremadamente ligeros, diseñados para convivir con herramientas legítimas.
• Uso intensivo de servicios cloud como vector de persistencia.
• Automatización parcial, combinando scripts nativos con acciones manuales.
• Estrategias de desinformación técnica (código que simula pertenecer a otros grupos).

La campaña asociada a Easter Bunny encaja en esta evolución: módulos aislados, comunicación encubierta y comportamiento fragmentado para dificultar la detección.

Cómo detectar y mitigar ataques relacionados con Cozy Bear

Detectar una campaña operada por Cozy Bear implica observar señales que, en la mayoría de entornos, se confunden fácilmente con actividad legítima. 

APT29 evita el ruido, rara vez utiliza malware en etapas iniciales y prioriza el uso de identidades, servicios cloud y herramientas nativas del sistema. 

Por eso, la detección no depende de un único evento, sino de la capacidad de interpretar patrones de comportamiento que, juntos, revelan actividad anómala.

Indicadores de compromiso comunes

Aunque las campañas de Cozy Bear son extremadamente discretas, existen señales que suelen repetirse cuando el actor comienza a establecer persistencia.

Se ha podido observar que, de manera previa al despliegue del implante de mayor sofisticación, APT29 emplea ciertas técnicas de manera recurrente, como el uso de hta en las etapas iniciales del compromiso o el empleo de dll side-loading.

Otros indicadores relevantes incluyen:

• Creación silenciosa de aplicaciones OAuth con permisos excesivos.
• Actividad PowerShell firmada ejecutada desde rutas inusuales.
• Reglas de reenvío modificadas durante periodos muy breves.
• Movimientos laterales sin uso de binarios maliciosos.
• Accesos cloud desde tokens válidos pero con patrones de uso distintos al propietario legítimo.

Cozy Bear no busca pasar inadvertido “por falta de actividad”, sino mezclando sus acciones con el comportamiento normal del entorno.

Prácticas recomendadas frente a APT29

Mitigar a un actor tan refinado requiere reforzar los puntos donde más suele apoyarse: identidad, comportamiento y configuración cloud. No se trata de “bloquear herramientas”, sino de reducir la superficie operativa que el adversario puede explotar.

Entre las buenas prácticas recomendadas que pueden adoptarse se encuentran:

• MFA resistente a phishing.
• Rotación periódica de permisos administrativos.
• Inventariado recurrente de aplicaciones cloud registradas.
• Auditorías de identidades huérfanas o privilegios acumulados.

Rol del threat intelligence en la detección temprana

El threat intelligence es crítico porque APT29 evoluciona de forma constante. Las empresas que basan la detección únicamente en IOCs están siempre un paso por detrás. Lo relevante no es saber qué hash utilizó el año pasado, sino:

• Qué patrones operativos se repiten.
• Qué infraestructura emergente está desplegando.
• Qué errores operativos exhibe de forma consistente.
• Cómo está adaptando su cadena de ataque a nuevos controles defensivos.

El análisis continuado de las amenazas permite, no solo disponer de Indicadores de Compromiso actualizados para la integración temprana en las herramientas de seguridad, sino también del conocimiento para la identificación de la evolución de las Tácticas, Técnicas y Procedimientos, permitiendo así definir las capacidades y estrategias detección que permitan la detección de amenazas de tan alta sofisticación

El valor está en anticiparse, no en reaccionar. 

Para profundizar en este enfoque, te resultará útil la visión descrita en nuestro artículo sobre amenazas persistentes avanzadas.

Cómo un servicio MDR fortalece la detección y respuesta

Un servicio MDR (Managed Detection and Response) combina telemetría, análisis humano y contexto operativo.

En este sentido, S2GRUPO cuenta con un servicio de seguridad gestionada basado en el modelo MDR, que integra detección avanzada, respuesta activa e inteligencia de amenazas en un único sistema. 

Apoyado en el marco MITRE ATT&CK, permite identificar tácticas, técnicas y procedimientos (TTPs) utilizados por actores como Cozy Bear, incluso cuando los eventos individuales parecen inocuos.

• Detección basada en comportamiento.
• Correlación de eventos aparentemente desconectados.
• Respuesta inmediata.
• Análisis retrospectivo que permite reconstruir campañas de larga duración.

Ante APT29, la rapidez y el contexto son determinantes.

Lecciones clave que deja Cozy Bear para las organizaciones

El caso de Cozy Bear obliga a replantear las estrategias defensivas tradicionales.

Su éxito se basa en operar con la mínima huella posible, aprovechar configuraciones débiles y estudiar profundamente a sus objetivos antes de actuar.

Las organizaciones que dependen exclusivamente de alertas reactivas o firmas de malware están expuestas.

Las principales lecciones que deja este actor son:

• La identidad, no el endpoint, es hoy el vector más vulnerable.
• Las amenazas avanzadas no necesitan malware para comprometer una red.
• La cadena de suministro es un objetivo recurrente y difícil de proteger sin visibilidad completa.
• La ausencia de alertas no significa ausencia de actividad.
• La detección efectiva depende de correlación, inteligencia y supervisión constante.

Cozy Bear no es un actor ruidoso, es paciente, metódico y extremadamente técnico. Entenderlo y prepararse para enfrentarlo es esencial para cualquier organización que gestione activos críticos.

Si quieres fortalecer tu capacidad para anticipar, detectar y responder a amenazas como Cozy Bear, te invitamos a explorar los recursos que hemos diseñado para ayudar a organizaciones que ya están enfrentándose a actores avanzados:

• El webinar sobre inteligencia de amenazas 2025, donde analizamos cómo anticipar campañas complejas.
• El informe ransomware 2025, esencial para entender cómo convergen actores estatales y criminales.
• Y nuestro análisis técnico de MetaStealer, que ayuda a comprender la arquitectura modular usada en amenazas avanzadas.

Y si quieres profundizar en investigaciones como la de Easter Bunny y recibir contenido exclusivo que no se publican de forma abierta, puedes suscribirte a la Bitácora de lo Invisible, donde compartimos el trabajo realizado por nuestro equipo de ciberinteligencia para ayudar a empresas como la tuya.