La amenaza de los actores de origen ruso probablemente se derivan de un nuevo conjunto de ataques dirigidos al sector energético de Kazajstán.
La actividad, conocida como nombre en código de la Operación Barrelfire, está vinculada a un nuevo grupo de amenazas que SEQITE Labs rastrea como un oso ruidoso. Los actores de amenaza han estado activos desde al menos abril de 2025.
“La campaña está dirigida a los empleados de Kazumunaigus o KMG que tienen entidades de amenaza que proporcionan documentos falsos relacionados con el departamento de TI de KMG, imitan las comunicaciones internas oficiales y aprovechan temas como actualizaciones de políticas, procedimientos de certificación interna y ajustes salariales.
La cadena de infección comienza con un correo electrónico de phishing que contiene un descargador de acceso directo (LNK) de Windows, documentos de señuelo relacionados con Kazmunaigas y un archivo adjunto con cremallera que contiene un archivo ReadMe.txt escrito tanto en ruso como en kazajos, e instrucciones para ejecutar un programa llamado «Kazmunaygaz_viewer».
Según la compañía de seguridad cibernética, el correo electrónico se envió desde una dirección de correo electrónico comprometida de una persona que trabaja en la división financiera de Kazumunaigus en mayo de 2025 y se dirigió a otros empleados de la compañía.
La carga útil del archivo LNK está diseñada para soltar cargas útiles adicionales, incluidos los scripts de lotes maliciosos que allanan el camino para un cargador PowerShell llamado Downshell. El ataque culmina en el despliegue de implantes basados en DLL. Este es un binario de 64 bits que le permite ejecutar ShellCode y iniciar una carcasa inversa.
Un análisis posterior de la infraestructura del actor de amenaza reveló que está alojado en el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en AEZA Group, Rusia.
El desarrollo fue llevado a cabo por Harfanglab, un actor de amenaza bielorrusa conocido como escritor fantasma (Frostyneighbor o UNC1151), en una campaña dirigida a Ucrania y Polonia desde abril de 2025, y una campaña dirigida a recopilar información sobre los sistemas equipados e implementar implantes para la implantación para la penetración.
«Estos archivos contienen hojas de cálculo XLS con macros VBA que caen y cargan DLL», dijo la compañía francesa de seguridad cibernética. «Este último es responsable de recopilar información sobre el sistema comprometido y obtener la siguiente etapa de malware del servidor de comando y control (C2)».
Se sabe que las iteraciones posteriores de la campaña escriben archivos del gabinete de Microsoft (CAB) junto con atajos LNK para extraer y ejecutar DLLS desde el archivo. La DLL realiza el reconocimiento inicial antes de dejar caer la siguiente etapa de malware desde el servidor externo.
Mientras tanto, un ataque dirigido a Polonia coordinará la cadena de ataque y descargará una carga útil de la segunda etapa que establecerá el contacto con la icu del dominio (.) UCI, utilizando Slack como el mecanismo de baliza y el canal de exfiltración de datos.
En al menos un ejemplo, las DLL caídas a través de las hojas de cálculo de Excel de la carrera macro se utilizan para cargar balizas de ataque de cobalto, facilitando una mayor actividad después de la exposición.
«Estos pequeños cambios sugieren que es probable que UAC-0057 intente evitar la detección, pero es probable que prioricen la continuidad o el desarrollo de su operacionalidad sobre el sigilo y el refinamiento», dijo Harfanglab.
CyberAtacks reportados contra Rusia
Los hallazgos surgieron en medio de los temerosos ataques de Tor del nuevo antiguo Gremlin contra empresas rusas en la primera mitad de 2025, dirigida a ocho grandes compañías industriales nacionales que utilizan una campaña de correo electrónico de phishing.
La intrusión Kaspersky-By-Kaspersky ha ejecutado un guión malicioso, que incluye traer su propia técnica de controlador vulnerable (BYOVD) para deshabilitar la computadora de la víctima y la solución de seguridad de intérprete Node.js legítima.
El ataque de phishing dirigido a Rusia también proporcionó una nueva información que Steeler llamó Phantom Stealer, llamada Open Source Steeler Codenamed Steeler, para recopilar una amplia gama de información confidencial utilizando contenido para adultos y cebos de correo electrónico relacionados con los pagos. También comparte un duplicado con otro derivado de Stealerium conocido como Warp Stealer.
Según F6, Phantom Stealer hereda el módulo «Porndetector» de Stealerium, que captura las capturas de pantalla de la cámara web cuando los usuarios visitan sitios web porno manteniendo pestañas en las ventanas activas de su navegador activo, y también hereda si el título contiene una lista configurable de pornografía o sexo.
«Es probable que esto se use más tarde para ‘SextTorth'», dijo Proofpoint en su propio análisis del malware. «Esta característica no es novedosa entre el malware del delito cibernético, pero no se observa mucho».
En los últimos meses, las organizaciones rusas también han estado en los receptores de ataques llevados a cabo por grupos de piratería rastreados como atlas en la nube, fantomcore y lobos Scully, cosechando información confidencial y utilizando familias de malware como VBShower, Phantomrat y Phantomrshell para proporcionar cargas adicionales.
Otro clúster de actividades incluye el nuevo malware Android que pretende ser herramientas antivirus creadas por la Agencia de Servicios de Seguridad Federal Rusia (FSB) para que los representantes comerciales rusos elijan representantes de las empresas rusas. La aplicación es un intento de pasar Security_FSB, Pig (ruso en FSB) y el apellido como el Banco Central de la Federación Rusa.
Descubierto por primera vez en enero de 2025, el malware elimina los datos de las aplicaciones de Messenger y el navegador, transmite desde cámaras telefónicas, excluye las teclas de registro y solicita permisos extensos para acceder a mensajes SMS, ubicaciones, audio y cámaras. También requiere la ejecución de fondo, los derechos del administrador del dispositivo y los servicios de accesibilidad.
«La interfaz de la aplicación solo ofrece un idioma en ruso», dijo Doctor Web. «Por lo tanto, el malware está completamente enfocado en los usuarios rusos.
Source link
