El Tesoro sanciona a un corredor ruso de ‘exploits’ por herramientas cibernéticas estadounidenses robadas

En resumen

• La Oficina del Tesoro sancionó a Sergey Sergeyevich Zelenyuk y a Operation Zero, acusados de operar como una red de intermediarios de exploits rusos.
• Según los reguladores, estas sanciones son las primeras acciones bajo la nueva ley de sanciones por secretos comerciales.
• Las “herramientas” robadas estaban diseñadas para uso exclusivo del gobierno de EE. UU.

El Departamento del Tesoro de EE. UU. anunció el martes que ha sancionado a un corredor ruso que comercia con exploits, acusado de vender herramientas cibernéticas robadas del gobierno estadounidense. Las sanciones apuntaron a Sergey Sergeyevich Zelenyuk y a su empresa, Matrix LLC, con sede en San Petersburgo, también conocida como “Operation Zero”. Las sanciones marcan el primer uso de la Ley de Protección de la Propiedad Intelectual Americana para abordar el robo y la venta de secretos comerciales digitales, según la Oficina de Control de Activos Extranjeros. 

“Zelenyuk y Operation Zero comercian con ‘exploits’, que son fragmentos de código o técnicas que aprovechan vulnerabilidades en un programa informático para permitir a los usuarios acceder sin autorización, robar información o tomar el control de un dispositivo electrónico,” dijo OFAC en un comunicado el martes. Operation Zero ofrecería recompensas a quienes proporcionaran exploits para software desarrollado en EE. UU., agregó OFAC. El Tesoro también sancionó a Oleg Vyacheslavovich Kucherov, sospechoso de ser miembro del grupo de ciberdelincuencia Trickbot, y a Marina Evgenyevna Vasanovich, descrita como asistente de Zelenyuk. Fundada en 2021, Operation Zero, con sede en San Petersburgo, ha ofrecido recompensas multimillonarias por vulnerabilidades en sistemas operativos y aplicaciones de mensajería cifrada.

Operation Zero no ocultó sus recompensas, muchas de las cuales fueron publicadas abiertamente en X. Una publicación en noviembre ofrecía hasta $500,000 por un exploit dirigido a iOS 26 de Apple. Otra recompensa, de marzo de 2025, ofrecía hasta $4 millones por exploits de la “cadena completa” en Telegram. Los clientes de Operation Zero son “solo organizaciones privadas y gubernamentales rusas,” para quienes buscan comprar “investigaciones, productos y código de software en el campo de la seguridad ofensiva,” según una traducción aproximada del sitio web de la empresa. “La adquisición de zero-day es una práctica popular y común en muchos países hoy en día,” dijo la empresa en su FAQ. “No solo es mucho más lucrativa que trabajar con programas de recompensas por bugs y vendedores, sino también más segura,” añadiendo que un investigador que trabaja con Operation Zero no debería tener que sacrificar privacidad y seguridad por dinero. Según el Departamento del Tesoro, Operation Zero ha robado al menos ocho “herramientas cibernéticas” patentadas, desarrolladas para uso exclusivo del gobierno de EE. UU. y aliados selectos. El Departamento de Estado de EE. UU. afirmó en un comunicado separado que la acción sigue a una investigación del Departamento de Justicia y del FBI sobre Peter Williams, un ciudadano australiano y ex empleado de una contratista de defensa estadounidense, quien supuestamente robó “ocho exploits de secretos comerciales zero-day” entre 2022 y 2025. “Esos componentes estaban destinados a ser vendidos exclusivamente al gobierno de EE. UU. y a aliados selectos,” dijo el departamento. “Él vendió estos exploits a Operation Zero a cambio de $1.3 millones en pagos en criptomonedas.” Williams se declaró culpable en octubre del año pasado de dos cargos por robo de secretos comerciales. El Tesoro afirmó que la empresa rusa también ha trabajado en el desarrollo de spyware y herramientas basadas en IA para extraer información personal identificable y otros datos sensibles. Además, ha utilizado las redes sociales para reclutar hackers y establecer relaciones con agencias de inteligencia extranjeras. El Departamento del Tesoro y Operation Zero no respondieron de inmediato a las solicitudes de Decrypt para comentarios.