El objetivo de los ataques era infectar dispositivos con malware para la minería de criptomonedas.
La empresa de ciberseguridad F6 (anteriormente F.A.C.C.T., y también Group-IB en Rusia) registró en el segundo trimestre de 2025 una ola de ataques del grupo Kinsing contra empresas rusas de los sectores de finanzas, logística y telecomunicaciones.
El objetivo de estos ataques era infectar dispositivos con malware para la minería de criptomonedas. Como señaló F6, el grupo Kinsing opera fuera de nuestro país desde 2019, y este año ha emprendido por primera vez una ofensiva a gran escala contra usuarios rusos.
La compañía informó:
En la primavera de 2025, uno de los clientes de la compañía registró un intento de ciberataque contra sus servidores externos. Con una lista de direcciones IP desde las que se realizó el ataque, se dirigió al departamento de ciberinteligencia (Threat Intelligence) de la compañía F6 para su atribución, para averiguar quién estaba detrás del ataque.
Como resultado de la verificación de los indicadores de compromiso (IoCs), el análisis del tráfico de red, la correlación con fuentes externas de Threat Intelligence y la comparación de las tácticas, técnicas y procedimientos (TTPs) identificados del atacante, los especialistas de F6 rastrearon al grupo Kinsing. Este grupo ciberdelincuente, que recibió su nombre del software malicioso Kinsing, que utiliza activamente en sus ataques, también se conoce como H2Miner y Resourceful Wolf. El grupo se especializa en el criptojacking: el uso ilegal de los recursos informáticos de los sistemas infectados para la minería de criptomonedas, principalmente Monero (XMR), así como en la creación y expansión de botnets.
La principal diferencia de Kinsing es que no recurre a ataques de phishing. Los atacantes escanean la infraestructura de la empresa para identificar vulnerabilidades en el software, que luego utilizan para ejecutar código malicioso en el sistema. Los ataques de Kinsing están dirigidos a los sistemas Linux de los servidores de las empresas.
