El equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) ha revelado que se registraron no menos de tres ataques cibernéticos contra los organismos de la administración estatal y las instalaciones de infraestructura crítica en el país con el objetivo de robar datos confidenciales.
La campaña, dijo la agencia, implicó el uso de cuentas de correo electrónico comprometidas para enviar mensajes de phishing que contienen enlaces que apuntan a servicios legítimos como DropMefiles y Google Drive. En algunos casos, los enlaces están integrados dentro de los accesorios PDF.
Las misivas digitales buscaron inducir una falsa sensación de urgencia al afirmar que una agencia gubernamental ucraniana planeaba reducir los salarios, instando al destinatario a hacer clic en el enlace para ver la lista de empleados afectados.
Visitar estos enlaces conduce a la descarga de un cargador de script de Visual Basic (VBS) diseñado para obtener y ejecutar un script PowerShell capaz de cosechar archivos que coinciden con un conjunto específico de extensiones y capturar capturas de pantalla.
Se dice que la actividad, atribuida a un clúster de amenazas rastreado como UAC-0219, estaba en curso desde al menos el otoño de 2024, con iteraciones tempranas utilizando una combinación de binarios EXE, un robador de VBS y un software legítimo editor de imágenes llamado Irfanview para realizar sus objetivos.
CERT-UA le ha dado al cargador VBS y al malware PowerShell, el apodo de WreckSteel. Los ataques no se han atribuido a ningún país.
Los ataques cibernéticos siguen el descubrimiento de una campaña de phishing que se ha centrado en la defensa y las entidades aeroespaciales con vínculos con el conflicto en curso en Ucrania para cosechar credenciales de correo web a través de páginas de inicio de sesión falsas.
“Los atacantes parecen haber construido la página usando Mailu, un software de servidor de correo de código abierto disponible en GitHub”, dijo el equipo de Investigaciones de Domaintaols (DTI).
“El enfoque en la falsificación de organizaciones involucradas en la infraestructura de defensa y telecomunicaciones de Ucrania sugiere además una intención de reunir inteligencia relacionada con el conflicto en Ucrania. En particular, muchas de la defensa falsificada, las compañías aeroespaciales y de TI han brindado apoyo a los esfuerzos militares de Ucrania en su conflicto con Rusia”.
También se han observado conjuntos de intrusiones alineados en Rusia como UAC-0050 y UAC-0006 también se han observado que llevan a cabo campañas de spam motivadas financieramente y de espionaje desde el comienzo de 2025, principalmente apuntando a varios verticales, como gobiernos, defensa, energía y ONG, para distribuir familias de malware como SLOAD, REMCOS RAT, NETSUPORT RAT y SMOKELOADER.
El desarrollo se produce cuando Kaspersky advirtió que el actor de amenaza conocido como jefe de yegua ha atacado a varias entidades rusas con un malware conocido como fantompyramid que es capaz de procesar instrucciones emitidas por el operador sobre un servidor de comando y control (C2), así como descargar y ejecutar cargas adicionales como Meshagent.
Las compañías de energía rusas, las empresas industriales y los proveedores y desarrolladores de las organizaciones de componentes electrónicos también han estado en el extremo receptor de los ataques de phishing montados por un actor de amenaza con nombre en código Unicorn que dejó caer un VBS Troya diseñado para desviar archivos e imágenes de anfitriones infectados.
A fines del mes pasado, Seqrite Labs reveló que las redes académicas, gubernamentales, aeroespaciales y relacionadas con la defensa en Rusia están siendo atacadas por documentos de señuelo armados, probablemente enviados a través de correos electrónicos de phishing, como parte de una campaña doblada por la Operación Hollowquill. Se cree que los ataques comenzaron alrededor de diciembre de 2024.
La actividad hace uso de tácticas de ingeniería social, disfrazando los PDF con malware como invitaciones de investigación y comunicadas gubernamentales para atraer a los usuarios desprevenidos a desencadenar la cadena de ataque.
“La entidad de amenaza ofrece un archivo RAR malicioso que contiene un gotero de malware .NET, que deja caer aún más un cargador de shellcode basado en Golang junto con la aplicación OneDrive legítima y un PDF basado en señuelo con una carga útil final de Cobalt Strike”, dijo el investigador de seguridad Subhajeet Singha.
