Buscaban vídeos de Gadafi y acabaron con hackers en la junta directiva: organismos estatales libios pagaron por su curiosidad
Cómo la inestabilidad en Libia alterará los precios mundiales del combustible
El ataque comenzó con un titular sonoro sobre «filtración de vídeo» y terminó con acceso oculto a las redes de una compañía petrolera. Durante varios meses los atacantes se afianzaron discretamente en varias organizaciones de Libia, incluida una refinería.
Una serie de ataques se extendió desde noviembre de 2025 hasta febrero de 2026 y también afectó a una compañía de telecomunicaciones y a una institución estatal. Penetraron en las redes mediante correos con adjuntos maliciosos. Como cebo utilizaron asuntos relacionados con la situación interna del país. Uno de los archivos se hacía pasar por un archivo con «vídeo filtrado» sobre la eliminación de Saif al-Qaddafi, hijo del antiguo líder de Libia.
Tras abrir ese archivo, en el ordenador se descargaba un script en Visual Basic. Este descargaba la siguiente etapa del ataque desde un servicio de intercambio de archivos y luego ejecutaba un script malicioso en PowerShell. El script creaba una tarea programada en el sistema para afianzarse y volver a ejecutarse incluso si se reiniciaba el equipo.
La etapa final consistía en la instalación de AsyncRAT. Se trata de un troyano de acceso remoto que permite registrar las pulsaciones de teclas, tomar capturas de pantalla y ejecutar comandos en el dispositivo infectado. El programa es modular; los atacantes modifican con facilidad sus funciones según las tareas de la operación concreta.
Las trazas muestran que el acceso a la red de la compañía petrolera pudo mantenerse durante varios meses. La actividad se registró en noviembre y diciembre de 2025, y de nuevo en febrero de 2026. Además, ciertos archivos relacionados con la campaña aparecieron ya en la primavera de 2025, lo que indica una preparación más prolongada.
No hay una atribución directa a un grupo concreto. AsyncRAT está disponible para cualquiera y se ha utilizado anteriormente tanto en operaciones con participación estatal como en ataques de ransomware. Sin embargo, la elección de objetivos y el carácter de las acciones sugieren tareas de inteligencia.
El ataque resulta especialmente ilustrativo en el contexto de la tensión alrededor del mercado petrolero. Libia el año pasado produjo alrededor de 1,37 millones de barriles de petróleo por día —el máximo de los últimos años. En medio de la inestabilidad de la región, el interés por este tipo de instalaciones solo aumenta, y no solo entre inversores o políticos.
Los atacantes emplean activamente sucesos llamativos como cebo. Conflictos, subidas del precio del petróleo y crisis políticas se convierten en temas de correo que los empleados abren con más facilidad. Como resultado, incluso grandes organizaciones del sector energético siguen siendo vulnerables frente a ataques relativamente simples pero bien dirigidos.