Los actores de amenazas patrocinados por el Estado ruso han estado implicados en una serie de nuevos ataques de recolección de credenciales dirigidos a personas asociadas con el Instituto de Investigación Nuclear y Energética de Turquía, así como a personal afiliado a organizaciones y centros de estudios europeos en Macedonia del Norte y Uzbekistán.
Se cree que la actividad es realizada por APT28 (también conocido como BlueDelta) y se cree que es el resultado de una campaña «continua» de recolección de credenciales dirigida a los usuarios de UKR(.)net el mes pasado. APT28 coordina con las direcciones principales del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU).
Insic Group de Recorded Future dijo: «El uso del idioma turco y material señuelo dirigido regionalmente sugiere que Blue Delta ha adaptado su contenido para aumentar la credibilidad entre audiencias profesionales y geográficas específicas». «Estas selecciones reflejan un interés continuo en organizaciones relacionadas con la investigación energética, la cooperación en defensa y las redes de comunicaciones gubernamentales relacionadas con las prioridades de la inteligencia rusa».
La firma de ciberseguridad dijo que los ataques se dirigieron a un conjunto pequeño pero distinto de víctimas en febrero y septiembre de 2025, con campañas que utilizaban páginas de inicio de sesión falsas diseñadas para parecerse a servicios populares como Microsoft Outlook Web Access (OWA), Google y el portal Sophos VPN.
Este esfuerzo se destaca por el hecho de que después de ingresar las credenciales en la página de destino falsa, los usuarios desprevenidos son redirigidos al sitio legítimo, evitando cualquier señal de alerta. También se descubrió que la campaña dependía en gran medida de servicios como Webhook(.)site, InfinityFree, Byet Internet Services y ngrok para alojar páginas de phishing, extraer datos robados y habilitar redirecciones.
En nuevos intentos de parecer legítimos, se dice que los actores de amenazas utilizaron documentos PDF legítimos como señuelo, incluida una publicación del Centro de Estudios del Golfo de junio de 2025 relacionada con la guerra Irán-Israel y un informe de políticas de julio de 2025 para un nuevo acuerdo en el Mediterráneo publicado por el grupo de expertos sobre cambio climático ECCO.
La cadena de ataque comienza con un correo electrónico de phishing que contiene un enlace acortado que, al hacer clic, redirige a la víctima a otro enlace alojado en el sitio Webhook(.). Este enlace muestra brevemente un documento señuelo durante aproximadamente dos segundos y luego redirige a un segundo sitio Webhook(.) que aloja una página de inicio de sesión de Microsoft OWA falsificada.
Dentro de esta página, un webhook(.) guarda la URL del sitio y utiliza JavaScript para
Envía una baliza de «página abierta», envía las credenciales enviadas a un punto final de webhook y, en última instancia, redirige al PDF alojado en el sitio web real.
También se ha observado a APT28 ejecutando otras tres campañas.
Se implementó una página de recopilación de credenciales que imita una página de restablecimiento de contraseña de Sophos VPN alojada en una infraestructura proporcionada por InfinityFree, recopila las credenciales ingresadas en un formulario y redirige a las víctimas a un portal legítimo de Sophos VPN que pertenece a un grupo de expertos anónimo de la UE. Campaña de junio de 2025. Se utilizó una página de recopilación de credenciales alojada en el dominio InfinityFree para advertir falsamente a los usuarios sobre contraseñas vencidas y engañarlos para que inicien sesión en la campaña de septiembre de 2025. Ingresa credenciales y redirige a una página de inicio de sesión legítima asociada con un organización militar en la República de Macedonia del Norte y un integrador de TI con sede en Uzbekistán La campaña de abril de 2025 utiliza una página falsa de restablecimiento de contraseña de Google alojada en Byet Internet Services para recopilar las credenciales de las víctimas y exfiltrarlas a una URL ngrok
«El abuso constante por parte de Blue Delta de la infraestructura de servicios legítimos de Internet demuestra la continua dependencia del grupo de servicios desechables para alojar y transmitir datos de autenticación», dijo la compañía propiedad de Mastercard. «Estas campañas resaltan el compromiso continuo del GRU con la recopilación de credenciales como método de recopilación de inteligencia de bajo costo y alto rendimiento en apoyo de los objetivos de la inteligencia rusa».
Source link
