Se cree que un actor de amenazas patrocinado por el estado ruso conocido como APT28 está involucrado en lo que se describe como una campaña de recolección de credenciales «persistente» dirigida a usuarios de UKR(.)net, un popular servicio de noticias y correo web en Ucrania.
Esta actividad fue observada por Insikt Group de Recorded Future desde junio de 2024 hasta abril de 2025, y se basa en investigaciones anteriores que la compañía realizó en mayo de 2024 que detallan los ataques del grupo de piratas informáticos dirigidos a redes europeas con el malware HeadLace y las páginas web de recolección de credenciales.
APT28 también se rastrea como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422. Se cree que está afiliado al Estado Mayor General de la Federación Rusa (GRU).
El último ataque presenta una página de inicio de sesión con tema de red UKR(.)en servicios legítimos como Mocky, que engaña a los destinatarios para que ingresen sus credenciales y su código de autenticación de dos factores (2FA). Los enlaces a estas páginas están integrados en documentos PDF distribuidos a través de correos electrónicos de phishing.
Los enlaces se acortan utilizando servicios como tiny(.)cc y tinyurl(.)com. En algunos casos, también se ha observado que los atacantes utilizan subdominios creados en plataformas como Blogger (*.blogspot(.)com) para iniciar una cadena de redireccionamiento de dos niveles que conduce a una página de recopilación de credenciales.
Este esfuerzo es parte de una operación más amplia de phishing y robo de credenciales orquestada por adversarios desde mediados de la década de 2000, dirigida a agencias gubernamentales, contratistas de defensa, proveedores de armas, empresas de logística y grupos de expertos en políticas en pos de los objetivos estratégicos de Rusia.
«Aunque esta campaña no revela objetivos específicos, el enfoque anterior de Blue Delta en robar credenciales que permiten la recopilación de información proporciona fuertes indicadores de que probablemente tiene la intención de recopilar información confidencial de usuarios en Ucrania en apoyo de requisitos más amplios de inteligencia de GRU», dijo la compañía propiedad de Mastercard en un informe compartido con Hacker News.
Lo que ha cambiado es el paso del uso de enrutadores comprometidos a servicios de túnel proxy como ngrok y Serveo para capturar y transmitir credenciales robadas y códigos 2FA.
«La explotación continua por parte de Blue Delta del alojamiento gratuito y la infraestructura de túneles anónimos probablemente refleja una respuesta adaptativa a la destrucción de infraestructura liderada por Occidente a principios de 2024», dijo Recorded Future. «Esta campaña resalta el persistente interés del GRU en comprometer las credenciales de los usuarios ucranianos para apoyar las operaciones de recopilación de inteligencia de Rusia en medio de la guerra en curso de Rusia en el país».
Source link
