La reciente aparición del uso dirigido de malware en la ciberespionaje frente a la industria requiere una revisión sistemática para una mejor comprensión de su impacto y mecanismo. Este documento propone una taxonomía básica para documentar los principales incidentes de ciberespionaje, describiendo y comparando sus impactos (objetivos geográficos o políticos, orígenes y motivaciones) y sus mecanismos (dropper, propagación, tipos de sistemas operativos y tasas de infección). Esta taxonomía proporciona información sobre los recientes ataques de ciberespionaje que pueden ayudar en la defensa contra la ciberespionaje al proporcionar tanto a académicos como a expertos una base sólida de conocimiento sobre el tema. La clasificación también ofrece una forma sistemática de documentar ataques conocidos y futuros para facilitar las actividades de investigación. Los investigadores en relaciones internacionales y geopolítica pueden centrarse en los impactos, y los expertos en malware y seguridad pueden centrarse en los mecanismos. Identificamos varios patrones dominantes (por ejemplo, el uso prevalente de troyanos de acceso remoto y la ingeniería social). Este artículo concluye que la comunidad de investigación y profesional debería colaborar para construir un conjunto de datos abierto que facilite el análisis y la síntesis geopolítica y/o técnica del papel del malware en la ciberespionaje.