Los fiscales federales han acusado a un ciudadano ruso de conspiración para cometer acceso no autorizado a una computadora en relación con una extensa campaña de ciberespionaje vinculada al grupo de amenazas Void Blizzard, alineado con Rusia, según una denuncia penal presentada ante un tribunal federal esta semana.

Denis Nikolayevich Obrezko, un ciudadano ruso, está acusado de irrumpir en sistemas propiedad de empresas en Estados Unidos y otros lugares, según una declaración jurada del FBI revelada el martes. Los investigadores alegan que Obrezko facilitó la campaña comprando un servidor privado virtual y nombres de dominio utilizados en ataques dirigidos a empresas, instituciones educativas y otras organizaciones.

Los cargos se producen aproximadamente un año después de que Microsoft identificara públicamente a Void Blizzard, al que también rastrea como Laundry Bear, como un grupo de amenazas ruso patrocinado por el estado que lleva a cabo operaciones de espionaje a gran escala contra agencias gubernamentales, proveedores de defensa y proveedores de infraestructura crítica en los estados miembros de la OTAN, Ucrania y más allá. Los servicios de inteligencia y seguridad holandeses confirmaron por separado en mayo de 2025 que el grupo se había infiltrado en la policía nacional de los Países Bajos en septiembre de 2024, robando información de contacto laboral del personal policial.

La declaración jurada del FBI describe una operación metódica pero en gran medida poco sofisticada. Los investigadores dicen que Void Blizzard se basó principalmente en tokens de sesión robados para autenticarse en las cuentas de las víctimas sin activar requisitos de reautenticación, y luego utilizó un servicio de proxy comercial con sede en EE. UU. para enmascarar la ubicación de la conexión. El grupo generalmente enrutaba el tráfico a través de una VPN antes de seleccionar direcciones IP proxy en la misma región como objetivo, lo que le permitía eludir las restricciones geográficas del firewall.

De junio a julio de 2024, el FBI recibió pistas de un socio extranjero y de una empresa del sector privado con sede en Estados Unidos que identificaban a varias empresas estadounidenses que estaban siendo atacadas por el grupo emergente. Posteriormente, los investigadores verificaron intrusiones en 11 empresas estadounidenses, una cifra que la declaración jurada describe como probablemente una fracción del recuento total de víctimas en todo el país.

Los métodos de Void Blizzard, aunque no son técnicamente avanzados, han demostrado ser ampliamente efectivos. Los investigadores de Microsoft señalaron en 2025 que el éxito del grupo ilustra el riesgo sostenido que plantean incluso las técnicas de intrusión básicas cuando se aplican a escala. Se ha observado que el grupo recopila correos electrónicos y archivos masivos de entornos de nube comprometidos, accede a conversaciones de Microsoft Teams y cataloga configuraciones de Microsoft Entra ID para mapear estructuras organizativas.

En abril de 2025, Microsoft identificó una campaña separada de phishing atribuida a Void Blizzard que tenía como objetivo más de 20 organizaciones no gubernamentales en Europa y Estados Unidos, utilizando dominios con errores tipográficos para falsificar las páginas de autenticación de Microsoft. La declaración jurada corrobora esa actividad, identificando dominios como miscrsosoft[.]com y microsoftonline[.]com registrado a través de cuentas conectadas a la misma infraestructura utilizada por el grupo.

Obrezko compareció ante el tribunal el martes y aceptó ser puesto bajo custodia mientras espera el juicio.

Puede leer la declaración jurada a continuación.