Z-Pentest y la ofensiva hacktivista sobre SCADA, CCTV y automatización expuesta

Desde el comienzo de la guerra entre Ucrania y Rusia, el hacktivismo pro-ruso fue dejando de parecer una periferia ruidosa del conflicto para mostrar una cara bastante más incómoda a través de la cual deja en evidencia que no se trata sólo de ataques DDoS o defacements vistosos. En grupos como NoName057(16), OverFlame, PalachPro, PerunSwarog, Server Killers, inteid, Morningstar, entre muchos otros, empieza a verse una recurrencia cada vez mayor sobre sistemas expuestos que conectan con agua, energía, climatización, videovigilancia o automatización industrial.

Dentro de ese escenario, Z-Pentest (Z-Pentest Alliance - З-Пентест Аллианце) se destaca por la insistencia con la que vuelve sobre sistemas SCADA/OT/ICS expuestos, CCTV/NVR y automatización conectada a procesos sensibles. Ahí está, en buena medida, su diferencial: no sólo en el tipo de superficie que explota, sino en cómo convierte esos accesos en narrativa de guerra, hostilidad geopolítica e intimidación pública. No como una rareza absoluta dentro del ecosistema pro-ruso, porque desde el comienzo de la guerra entre Ucrania y Rusia esa escena fue mostrando actores cada vez más cómodos sobre capas menos convencionales del conflicto digital. Pero sí como una expresión bastante clara de esa evolución.

Mientras una parte del hacktivismo sigue orbitando alrededor del DDoS vistoso o del defacement con más estética que sustancia, Z-Pentest aparece una y otra vez sobre agua, saneamiento, estaciones de bombeo, climatización, videovigilancia, automatización de edificios y equipamiento industrial ligero.

Los números ayudan a bajar esa impresión a tierra. Sobre un universo amplio de publicaciones atribuidas al grupo, el patrón más visible no está en la web pública, sino en los sistemas con alguna clase de correlato operativo. Agua, saneamiento y bombeo concentran 127 incidentes relevados. Después aparecen, bastante más abajo, Website/DDoS/Propaganda con 65, Building/Facility Automation con 56, CCTV/NVR/Surveillance con otros 56 y HVAC/Refrigeration/Climate con 47. Cuando se mira por sectores, la foto se ordena todavía mejor: Water & Wastewater suma 119 eventos, Construction & Industry 56, Hospitality & Leisure 54, Energy & Utilities 44, Agriculture & Food 18 y Healthcare 12. Dicho de otra manera: el grupo no vive exclusivamente en infraestructura crítica, pero tampoco se queda en el blanco banal o puramente decorativo. Alterna entre entornos sensibles y entornos muy útiles para espectáculo, humillación o propaganda.

La distribución por capas de sistema confirma que Z-Pentest no se limita a DDoS o defacement: una parte central de su actividad visible vuelve sobre entornos con mayor valor operativo.

La distribución sectorial deja ver una combinación de blancos sensibles y otros de alto rendimiento propagandístico, más útil para exhibición pública que para daño sostenido.

Z-Pentest parece moverse con comodidad dentro de una lógica que, en el hacktivismo pro-ruso, se volvió cada vez más rentable. No hace falta llegar a sabotaje catastrófico para producir un efecto político útil. A veces alcanza con mostrar acceso a una planta de tratamiento, una estación de bombeo, un sistema HVAC hospitalario, una red de cámaras o un panel de control doméstico o comercial. Ese acceso, publicado con el tono correcto, sirve para intimidar, humillar, proyectar capacidad y alimentar prestigio interno.

En esa lógica, los países tampoco parecen elegidos al azar. Italia, España, Polonia, Estados Unidos, Francia e Israel aparecen entre los más golpeados en el universo observado, con presencia también en Rumania, Lituania, Portugal, Bélgica, Bulgaria, República Checa, Taiwán y otros escenarios de menor densidad. Italia concentra 50 incidentes, España 48, Polonia 41, Estados Unidos 28, Rumania 26, Francia 22 e Israel 21. Hay una geografía visible del targeting y conviene leerla en clave política, no sólo operativa. Parte del valor del grupo está en cómo convierte esos accesos en una cartografía de hostilidad.

Los países más afectados en el universo observado refuerzan que el targeting de Z-Pentest no responde sólo a oportunidad técnica, sino también a una geografía visible de hostilidad política

Z-Pentest no es un grupo pro-ruso genérico, sino una mezcla más cargada de nacionalismo serbio, antagonismo hacia Ucrania, OTAN e Israel, retórica agresiva, revanchista y, en varios tramos, abiertamente antisemita. Eso ayuda a entender por qué selecciona ciertos países y por qué busca darles a sus acciones un sentido político más amplio apoyado en memoria bélica, resentimiento antioccidental, afinidades religiosas y culturales, y una narrativa de agravio histórico que todavía conserva peso en sectores del nacionalismo serbio.

Este punto se vuelve todavía más interesante cuando se mira la evolución del hacktivismo pro-ruso más amplio. Rusia no sólo arrastra una reputación histórica elevada en desarrollo y distribución de códigos maliciosos, botnets, exploit kits o ecosistemas criminales complejos. También viene mostrando, desde la guerra con Ucrania, un entorno hacktivista cada vez más agresivo, más coordinado y más dispuesto a operar sobre superficies antes menos valorizadas. Z-Pentest no aparece solo en esa transformación. Otros actores, como OverFlame, PalachPro, PerunSwarog, Server Killers o inteid, ayudan a mostrar que el fenómeno es cada vez más amplio, complejo y hostil buscando explotar el acceso a sistemas expuestos con valor operativo y fuerte rendimiento propagandístico.

En ese entramado también aparece un elemento que conviene tratar con prudencia, pero no ignorar: la alineación pública y estratégica que Z-Pentest proyectó con Sandworm. El grupo llegó a presentar esa relación en términos de integración operativa, aunque por ahora no hay base suficiente para tomar esa afirmación como vínculo orgánico confirmado. Aun así, la referencia no parece completamente azarosa. Sandworm arrastra desde hace años una fuerte asociación con infraestructura crítica, entornos OT/ICS, energía, agua y operaciones con potencial de disrupción física, y es justamente sobre ese tipo de superficies donde Z-Pentest construye su perfil.

Hay otro elemento que conviene no perder de vista. El uso recurrente de figuras como “students”, “new student” o “apprentice” puede ser leído como un exceso propagandístico, pero su repetición también deja abierta una hipótesis bastante más seria: que el grupo no funcione sólo como actor ofensivo, sino también como espacio de aprendizaje, entrenamiento o circulación de técnicas. Si eso fuera apenas parcialmente cierto, el problema ya no sería únicamente lo que Z-Pentest hace hoy, sino lo que puede enseñar, normalizar o reciclar dentro de un ecosistema más amplio. En términos de inteligencia, ese matiz vale bastante.

La capa relacional también suma densidad, aunque ahí conviene no exagerar. Hay cercanía visible con NoName057(16) y una zona de convergencia que roza otros frentes ya trabajados editorialmente por iQBlack, incluidos aquellos donde el ecosistema pro-ruso empieza a tocarse con espacios antiisraelíes o pro-palestinos. No hace falta volver a contar aquí esa otra historia. Alcanzaría con decir que Z-Pentest no se mueve en aislamiento y que su actividad se entiende mejor si se la ubica dentro de un escenario donde las compatibilidades tácticas y narrativas pesan cada vez más.

Aun así, conviene mantener algo de sangre fría porque no queda del todo claro hasta qué punto cada publicación del grupo refleja una afectación material sostenida, ni cuánto de su actividad corresponde a teatralización. Incluso descontando potencial ruido, Z-Pentest representa una forma de hacktivismo pro-ruso que se apoya de manera recurrente en accesos a sistemas SCADA/OT/ICS expuestos, CCTV/NVR y automatización conectada a procesos sensibles, y convierte esa capa en parte de una narrativa de guerra, intimidación y legitimidad interna.

Una parte del hacktivismo ya no parece conformarse con tirar recursos web o firmar hostilidad política a través de un defacement vistoso. También intenta mostrar que puede asomarse a sistemas expuestos con valor operativo y convertir esos accesos en propaganda, presión reputacional y demostración pública de capacidad. El componente descriptivo más fino sobre Z-Pentest ya fue absorbido dentro del trabajo estratégico y preliminar de 3C-INT. Lo que interesa aquí es otra cosa: lo que este grupo deja ver sobre la evolución de un ecosistema que hace tiempo dejó de ser tan simple como muchos todavía prefieren contarlo.

Nota metodológica: Para la elaboración de este artículo se utilizaron insumos de perfilamiento interno desarrollados en 3C-INT sobre Z-Pentest Alliance y análisis de canales públicos del actor perfilado.