Yevgeny Serebriakov, un famoso hacker ruso, ha sido nombrado jefe de Sandworm, un grupo de cibercriminales vinculado a la inteligencia militar rusa y conocido por su agresividad en Ucrania, según la revista estadounidense Wired.
Es un nombre que parece sacado de una novela de ciencia ficción de Frank Herbert, autor de la saga Dune. Pero Sandworm no es un monstruo de ficción: se trata de uno de los grupos de hackers más temidos de Rusia, que representa el principal brazo cibernético del GRU, el servicio de inteligencia militar ruso, según Washington.
Este grupo de cibercriminales a las órdenes de Moscú tiene rostro desde el miércoles 15 de marzo: Yevgeny Serebriakov es su nuevo jefe, según el sitio web Wired, que afirma haber recibido la confirmación de funcionarios de los servicios de inteligencia estadounidenses.
Sandworm, presente en Ucrania desde 2013
Un ascenso que Wired describe como un encuentro entre uno de los cibercriminales rusos “más temerarios y la organización de ciberpiratas más agresiva de Rusia”. Un cóctel que, con la guerra de invasión en Ucrania como telón de fondo, podría preocupar a Kiev.
Los ucranianos conocían a Sandworm mucho antes de que Yevgeny Serebriakov supuestamente se hiciera con el control. “Esta región parece ser el terreno de juego favorito de este grupo, aunque no sepamos con certeza todas las operaciones que ha llevado a cabo en el mundo”, señala Benoît Grunemwald, experto en ciberseguridad de la empresa eslovaca Eset, muy presente en Ucrania, donde colabora con las autoridades para contrarrestar los ciberataques desde el comienzo de la guerra.
Este grupo “apareció en nuestro radar en esta región a partir de 2013, y ha mantenido una presencia constante allí a través de múltiples ataques desde entonces”, resume este especialista. En aquel momento, aún no se había establecido el vínculo entre Sandworm y el GRU.
Pero estaba claro que estos hackers no pertenecían a los cibercriminales ordinarios que actúan principalmente por interés financiero. “Los objetivos elegidos eran generalmente de interés estratégico para los Estados”, señala Benoît Grunemwald.
Su principal hazaña en Ucrania, antes de la ofensiva rusa lanzada en 2022, fue cortar la electricidad en parte de Kiev en 2016, gracias al virus Industroyer, después de haber paralizado parte de las centrales eléctricas del país -un año antes, utilizando otro software malicioso de su propia creación.
“Se trata claramente de un grupo especializado en el cibersabotaje, que destaca en la destrucción de datos o instalaciones”, afirma John Fokker, responsable de inteligencia de amenazas del centro de investigación de Trellix, una empresa estadounidense de ciberseguridad.
Ataque a la campaña de Macron en 2017
Aunque Sandworm tiene un probado tropismo por Ucrania, el grupo también ha sabido exportar sus conocimientos a otros territorios. Fue responsable de la propagación de NotPetya, uno de los ataques de ransomware más destructivos de la historia, en 2017. Costó a cientos de víctimas de todo el mundo más de 1.000 millones de dólares, según las autoridades estadounidenses.
Estos cibercriminales también han dejado su huella en la escena política. Participaron en la vasta operación rusa para desestabilizar las elecciones presidenciales estadounidenses de 2016 robando documentos de los servidores del Partido Demócrata. Un año después, estos mismos rusos fueron acusados de intentar replicar la maniobra durante las elecciones francesas atacando los servidores del equipo de campaña de Emmanuel Macron.
En otras palabras, “la especialidad de Sandworm son los ataques contra infraestructuras eléctricas, pero el grupo sabe adaptarse a las circunstancias”, resume Benoît Grunemwald. Siempre que las operaciones hagan ruido. Un detalle que llevó rápidamente a los expertos en ciberseguridad a sospechar de los vínculos entre Sandworm y el GRU, “un servicio de inteligencia conocido por sus golpes de Estado”, como señala John Fokker. Pero no fue hasta 2020 cuando Washington asoció a Sandworm con la Unidad 74455, que es el nombre oficial de la principal unidad cibermilitar del GRU.
Un cibercriminal detenido en los Países Bajos
La llegada de Yevgeny Serebriakov al frente de un grupo tan agresivo como Sandworm puede parecer lógica. Este ruso es, de hecho, conocido por ser “técnicamente muy dotado” y por “gustarle asumir riesgos”, señala Wired. Su principal hazaña es, paradójicamente, la operación durante la cual fue detenido. Y que fracasó.
En 2018, Yevgeny Serebriakov fue detenido por la policía holandesa en un aparcamiento frente al edificio de la Organización para la Prohibición de las Armas Químicas (OPAQ) en La Haya. Llevaba consigo la parafernalia del perfecto ciberespía que había acudido a escuchar lo más atentamente posible los debates sobre el intento de envenenamiento del ex agente doble ruso Sergei Skripal por parte del GRU, que se estaban celebrando en ese momento en el edificio.
Yevgeny Serebriakov fue detenido junto a otros rusos y entregado a las autoridades rusas poco después. “No es sorprendente, todos tenían pasaportes diplomáticos, por lo que Holanda no podía, por ejemplo, extraditarlos a Estados Unidos, como se sugirió en su momento. Lo único que se podía hacer era etiquetarlos como personas non gratas en el país y pedir a los rusos que los recuperaran”, señala John Fokker, que fue miembro de las fuerzas especiales de la Marina holandesa antes de convertirse en especialista en ciberseguridad en Trellix.
En 2018, Yevgeny Serebriakov ya trabajaba para el GRU, pero en un grupo diferente, especializado en ciberespionaje y a un nivel inferior. Ya tenía un currículum extenso: había participado en operaciones al margen de los Juegos Olímpicos de Río y contra la Agencia Mundial Antidopaje en 2016, en pleno escándalo de los atletas rusos.
“Así que es un agente muy experimentado que, de confirmarse, se ha hecho cargo de Sandworm”, reconoce John Fokker. Wired no es el único en señalar que Yevgeny Serebriakov ha ascendido en el escalafón. Christo Grozev, especialista en Rusia del sitio web de investigación Bellingcat, hizo la misma deducción… tras obtener registros telefónicos del hacker. Recibía llamadas de generales del GRU, lo que “me hizo darme cuenta de que él mismo debía de haber sido nombrado para un puesto de mando”, declaró Christo Grozev a Wired.
Queda por ver qué impacto puede tener este nombramiento en la ciberguerra de Ucrania. Los hackers rusos estuvieron muy activos al principio de la invasión, pero sin hacer mucho daño. La llegada de Yevgeny Serebriakov podría ser una señal de que Moscú quiere golpear más fuerte. Si se confirma el nombramiento, “[ello] podría indicar que algo está en marcha”, señala John Fokker. Trellix había observado que Sandworm había estado tranquilo en Ucrania durante algunos meses. ¿La calma antes de la tormenta?