Se dice que un grupo hacktivista proucraniano llamado PhantomCore ha atacado activamente servidores que ejecutan el software de videoconferencia TrueConf en Rusia desde septiembre de 2025.
Esto es según un informe publicado por Positive Technologies, que encontró que los atacantes pudieron aprovechar una cadena de explotación de tres vulnerabilidades para ejecutar comandos de forma remota en servidores susceptibles.
«A pesar de que no hay forma de explotar este conjunto de vulnerabilidades en el acceso público, los atacantes de PhantomCore llevaron a cabo investigaciones y pudieron reproducir con éxito las vulnerabilidades, lo que dio lugar a numerosos casos operativos en organizaciones rusas», dijeron en un comunicado los investigadores Daniil Grigorian y Georgy Khandoshko.
Phantomcore, también conocido como Fairy Trickster, Head Mare, Rainbow Hyena y UNG0901, es el nombre asignado a un equipo de hackers motivado política y financieramente que ha estado activo desde 2022 después de la guerra entre Rusia y Ucrania. Los ataques del grupo son conocidos por robar datos confidenciales e interrumpir las redes de destino y, en algunos casos, implementar ransomware basado en el código fuente filtrado de Babak y LockBit.
En septiembre de 2025, la compañía dijo: «El grupo lleva a cabo operaciones a gran escala manteniendo un alto grado de sigilo, lo que significa que actualiza y evoluciona continuamente sus herramientas de ataque internas, lo que le permite permanecer invisible para las redes de las víctimas durante períodos prolongados de tiempo».
Las vulnerabilidades del servidor TrueConf explotadas en el ataque son las siguientes:
BDU:2025-10114 (puntuación CVSS: 7,5): controles de acceso insuficientes podrían permitir que un atacante envíe solicitudes a determinados puntos finales administrativos (/admin/*) sin autenticación. BDU:2025-10115 (puntuación CVSS: 7,5): vulnerabilidad que podría permitir a un atacante leer archivos arbitrarios en el sistema. BDU-2025-10116 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de comandos podría permitir a un atacante ejecutar comandos arbitrarios del sistema operativo.
La explotación exitosa de las tres vulnerabilidades podría permitir a un atacante eludir la autenticación y obtener acceso a la red de una organización. Según Positive Technologies, TrueConf lanzó un parche de seguridad que solucionaba el problema el 27 de agosto de 2025, pero el primer ataque dirigido a los servidores TrueConf se detectó a mediados de septiembre de 2025.
En un ataque observado por un proveedor de seguridad ruso, un compromiso del servidor TrueConf permitió a los atacantes usarlo como trampolín para moverse lateralmente dentro de las redes internas, lanzando cargas útiles maliciosas para facilitar el reconocimiento, la evasión de defensa y la captura de credenciales, y utilizando utilidades de túneles para configurar canales de comunicación.
Se dice que al menos una de esas violaciones exitosas introdujo un shell web basado en PHP que puede cargar archivos y ejecutar comandos remotos en hosts infectados, y un archivo PHP que actúa como un servidor proxy para disfrazar solicitudes maliciosas como si vinieran de un servidor legítimo.
Algunas de las otras herramientas entregadas como parte del ataque son:
PhantomPxPigeon es un cliente de videoconferencia TrueConf malicioso que implementa un shell inverso que se conecta a un servidor remoto y recibe tareas de ejecución posteriores, y utiliza los shells web PhantomSscp (DLL), MacTunnelRat (PowerShell) y PhantomProxyLite (PowerShell) mencionados anteriormente para ejecutar comandos, lanzar ejecutables y establecer un punto de apoyo en un entorno comprometido a través de un túnel SSH inverso. Permitir el proxy del tráfico. ADRecon (para reconocimiento) Veeam-Get-Creds (una versión modificada del script de PowerShell para recuperar contraseñas relacionadas con el software Veeam Backup & Replication) DumpIt y MemProcFS (para recopilación de credenciales) para Windows Remote Management (WinRM) y Remote Desktop Protocol (RDP), para movimiento lateral dentro del perímetro de la red Velociraptor, microsocks, rsocx y tsocks para acceso remoto Utilice un proxy SOCKS de control para comprometer hosts de infraestructura controlada por el atacante
Algunas intrusiones aprovecharon una DLL para crear un usuario no autorizado llamado «TrueConf2» con privilegios administrativos en servidores de videoconferencia comprometidos.
También se descubrió que la cadena de ataque PhantomCore había utilizado señuelos de phishing para el acceso inicial a organizaciones rusas, más recientemente en enero y febrero de 2026, y había utilizado archivos ZIP o RAR diseñados para ofrecer puertas traseras que podían ejecutar comandos remotos en hosts y entregar cargas útiles arbitrarias.
Los investigadores concluyeron que «el grupo PhantomCore es uno de los grupos más activos en el panorama de amenazas ruso». «Su arsenal incluye herramientas disponibles públicamente (Velociraptor, Memprocfs, Dokan, DumpIt) y herramientas patentadas (MacTunnelRAT, PhantomSscp, PhantomProxyLite). El grupo se dirige a organizaciones gubernamentales y privadas en una amplia gama de industrias».
«PhantomCore busca activamente vulnerabilidades en el software nacional y desarrolla exploits, obteniendo así la capacidad de penetrar en numerosas empresas rusas».
En los últimos meses, las industrias industrial y de aviación de Rusia han sido blanco de una campaña de phishing organizada por un grupo con motivación financiera llamado CapFIX. El grupo implementa una puerta trasera llamada CapDoor que puede ejecutar comandos de PowerShell, archivos DLL y ejecutables obtenidos de servidores remotos, instalar archivos MSI y tomar capturas de pantalla. El nombre CapFIX proviene del hecho de que CapDoor se descubrió por primera vez en 2025 y se distribuyó mediante tácticas de ingeniería social de ClickFix.
Un análisis detallado de las campañas de los actores de amenazas realizadas en octubre y noviembre de 2025 reveló que los actores de amenazas estaban utilizando ClickFix para implementar familias de malware disponibles en el mercado, como AsyncRAT y SectopRAT.
«Si bien el grupo anteriormente dependía de correos electrónicos de phishing con temas financieros (por ejemplo, criptomonedas y relacionados con el dinero), ahora están enmascarando cada vez más sus correos electrónicos como comunicaciones oficiales de agencias gubernamentales», dijo Positive Technologies.
PhantomCore y CapFIX se encuentran entre una lista de grupos de actividades de amenazas que han lanzado ataques contra organizaciones rusas. Otros grupos notables incluyen:
Desde julio de 2024, Geo Likho se ha dirigido principalmente a las industrias de la aviación y el transporte marítimo en Rusia y Bielorrusia mediante ataques de phishing que generan malware para robar información. También se han confirmado casos aislados en Alemania, Serbia y Hong Kong, y se sospecha de infecciones accidentales. Mythic Likho utiliza señuelos de phishing por correo electrónico para entregar una puerta trasera llamada Loki, que es una versión compatible con Mythic de un cargador como HuLoader, Merlin (un agente de Mythic) o ReflectPulse, un agente diseñado para el marco de post-explotación Havoc, diseñado para descomprimir la carga útil final. La evidencia indica que este grupo tiene vínculos con otro grupo conocido como ExCobalt, ya que utiliza su propio rootkit, Megatsune. Paper Werewolf (también conocido como GOFFEE) utilizó un canal dedicado de Telegram para distribuir un caballo de Troya llamado EchoGather disfrazado de herramienta para agregar dispositivos Starlink a la lista de excepciones, y también compartió un enlace a una página de phishing diseñada para recopilar las credenciales de las cuentas de Telegram de las víctimas. También se ha observado que el grupo utiliza un sitio web falso que promociona un simulador de piloto de drones para lanzar EchoGather. Versatile Werewolf (también conocido como HeartlessSoul) utilizó un sitio web falso (‘stardebug(.)app’) para distribuir un instalador MSI falso para Star Debug, una herramienta alternativa para administrar dispositivos Starlink, e implementar el marco de post-explotación Sliver. Otro sitio web asociado con el actor de amenazas (alphafly-drones(.)com) puede haber utilizado una aplicación fraudulenta de simulador de drones para soltar SoullessRAT, un troyano de Windows que puede ejecutar comandos, cargar archivos, capturar capturas de pantalla y ejecutar archivos binarios. Eagle Werewolf es un grupo de amenazas previamente indocumentado que comprometió canales de Telegram dedicados a drones y distribuyó AquilaRAT a través de cuentagotas Rust disfrazados de listas de verificación de activación de dispositivos Starlink. AquilaRAT, un troyano basado en Rust, puede realizar operaciones con archivos y ejecutar comandos.
«A pesar de compartir objetivos comunes y emplear tecnologías similares, los grupos operaron de forma autónoma y no mostraron evidencia de coordinación directa», dijo la firma rusa de ciberseguridad BI.ZONE en un comunicado.
«Además de distribuir malware, Paper Werewolf secuestra cuentas de Telegram y el clúster puede utilizarlas como canales confiables para respaldar futuros ataques. Versatile Werewolf aprovecha la IA generativa para desarrollar herramientas utilizadas en ataques y acelerar el proceso de desarrollo».
Source link
