Una investigación reciente de la Unidad 42, equipo de inteligencia de amenazas de Palo Alto Networks, identificó un nuevo grupo de ciberespionaje denominado TGR-STA-1030, al que atribuye una serie de operaciones encubiertas conocidas como “Campañas de la Sombra”. El informe advierte que estas actividades han tenido alcance global durante el último año, afectando a entidades gubernamentales y sectores estratégicos en decenas de países, en un contexto de creciente tensión digital internacional.
El análisis técnico concluye, con un alto nivel de confianza, que el grupo estaría alineado con un Estado y operaría desde Asia. Según la investigación, organizaciones gubernamentales e infraestructuras críticas en 37 países han sido comprometidas, lo que implica que cerca de uno de cada cinco Estados del mundo habría enfrentado incidentes de seguridad asociados a esta operación durante el periodo examinado por los especialistas en ciberseguridad.
Entre noviembre y diciembre de 2025 se detectaron actividades de reconocimiento activo contra infraestructura gubernamental vinculada a 155 países, incluida Colombia. Estas acciones, previas a posibles intrusiones, consisten en el escaneo sistemático de redes, identificación de vulnerabilidades y recopilación de información estratégica. Este tipo de reconocimiento suele ser la fase inicial de campañas más amplias orientadas a infiltración, espionaje o interrupción de servicios esenciales.
El grupo concentra sus ataques en ministerios y departamentos relacionados con economía, comercio, recursos naturales y relaciones diplomáticas, sectores considerados de alto valor geopolítico. La selección de objetivos sugiere un interés en información estratégica sobre políticas económicas, negociaciones internacionales y cadenas de suministro, elementos clave en la competencia global contemporánea donde los datos se convierten en activos tan relevantes como los recursos físicos.
La investigación también señala que las entidades afectadas han sido notificadas mediante protocolos de divulgación responsable, ofreciendo asistencia técnica para contener riesgos. Los hallazgos indican que el grupo prioriza países que mantienen o exploran asociaciones económicas específicas, lo que sugiere una motivación vinculada a la obtención de ventajas estratégicas en escenarios comerciales y diplomáticos más que a acciones meramente disruptivas.
Un aumento de actividad se observó durante el cierre del gobierno de Estados Unidos iniciado en octubre de 2025, periodo en el cual el grupo intensificó su interés en organizaciones de América del Norte, Central y del Sur. Se registraron escaneos de infraestructura gubernamental en países como Brasil, Canadá, República Dominicana, Guatemala, Honduras, Jamaica, México, Panamá y Trinidad y Tobago, ampliando su radio de acción en el hemisferio occidental.
Uno de los episodios más significativos ocurrió el 31 de octubre de 2025, cuando se detectaron conexiones desde al menos 200 direcciones IP dirigidas a infraestructura estatal de Honduras. La actividad se produjo apenas un mes antes de elecciones nacionales en ese país, lo que refuerza la hipótesis de que estas operaciones buscan obtener información sensible en momentos políticos clave para influir en decisiones estratégicas o anticipar cambios diplomáticos.
El informe subraya que la expansión de este tipo de campañas refleja una transformación del espionaje tradicional hacia entornos digitales altamente sofisticados. En un mundo donde gobiernos, economías e infraestructuras dependen de sistemas conectados, la ciberseguridad se convierte en un componente central de la soberanía y la estabilidad. Las denominadas “Campañas de la Sombra” evidencian que los conflictos contemporáneos también se libran en el terreno invisible de los datos.
