Se observó un grupo de actividad de amenazas previamente desconocido que se hacía pasar por la empresa eslovaca de ciberseguridad ESET como parte de una campaña de phishing dirigida a empresas ucranianas.
La campaña, detectada en mayo de 2025, está siendo rastreada por organizaciones de seguridad con el nombre de InedibleOchotense y se describe como afiliada a Rusia.
«InedibleOchotense envió correos electrónicos de phishing y mensajes de texto de Signal que contienen enlaces a instaladores troyanizados de ESET a múltiples organizaciones ucranianas», dijo ESET en su Informe de actividad de APT Q2 2025 – Q3 2025, compartido con The Hacker News.
Se considera que InedibleOchotense se superpone tácticamente con una campaña que involucra el despliegue de una puerta trasera llamada BACKORDER documentada por EclecticIQ y registrada por CERT-UA como UAC-0212, que se describe como un subgrupo dentro del grupo de piratería Sandworm (también conocido como APT44).
El mensaje de correo electrónico está escrito en ucraniano, pero la primera línea usa ruso, lo que probablemente indica un error tipográfico o de traducción, dijo ESET. Un correo electrónico que supuestamente proviene de ESET afirma que su equipo de monitoreo ha detectado un proceso sospechoso asociado con la dirección de correo electrónico y que su computadora puede estar en riesgo.
Esta actividad intenta aprovechar la popularidad del software ESET en el país y la reputación de su marca para engañar a los destinatarios para que instalen instaladores maliciosos alojados en dominios como esetsmart(.)com, esetscanner(.)com y esetremover(.)com.
Este instalador está diseñado para ofrecer el ESET AV Remover legítimo y una variante de puerta trasera de C# llamada Kalambur (también conocida como SUMBUR) que utiliza la red de anonimato Tor para comando y control. También puede eliminar OpenSSH y habilitar el acceso remoto a través del Protocolo de escritorio remoto (RDP) en el puerto 3389.
Vale la pena señalar que en un informe publicado el mes pasado, CERT-UA atribuyó una campaña casi idéntica a otro subgrupo dentro de Sandworm, UAC-0125.
Ataque de gusano de arena en Ucrania
Según ESET, Sandworm ha continuado su campaña destructiva en Ucrania, lanzando dos malware de limpieza rastreados como ZEROLOT y Sting dirigidos a universidades anónimas en abril de 2025, seguidos de múltiples variantes de malware de borrado de datos dirigidas a los sectores gubernamental, energético, logístico y de cereales.
«Durante este período, observamos y confirmamos que el grupo UAC-0099 realizó operaciones de acceso iniciales y posteriormente envió objetivos verificados a Sandworm para actividades de seguimiento», dijo la compañía. «Estos devastadores ataques de Sandworm son un recordatorio de que Wiper sigue siendo una herramienta frecuente de los actores de amenazas alineados con Rusia en Ucrania».
RomCom explota WinRAR 0-Day en ataques
Otro actor de amenazas ruso notable activo durante este período fue RomCom (también conocido como Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu). RomCom lanzó una campaña de phishing a mediados de julio de 2025 que aprovechó la vulnerabilidad WinRAR (CVE-2025-8088, puntuación CVSS: 8,8) como parte de un ataque dirigido a finanzas, fabricación, defensa y organizaciones. Empresa de logística en Europa y Canadá.
«Los intentos exitosos de explotación generaron varias puertas traseras utilizadas por el grupo RomCom, en particular variantes de SnipBot (también conocido como SingleCamper o RomCom RAT 5.0), RustyClaw y el agente Mythic», dijo ESET.
En un perfil detallado del RomCom a finales de septiembre de 2025, AttackIQ caracterizó al grupo de piratas informáticos como si estuviera siguiendo de cerca los acontecimientos geopolíticos en torno a la guerra de Ucrania y utilizándolos para llevar a cabo actividades de recolección de credenciales y robo de datos que probablemente respaldaran los objetivos rusos.
«RomCom se desarrolló originalmente como un malware básico para delitos electrónicos, diseñado para facilitar el despliegue y la persistencia de cargas útiles maliciosas, y permitió su integración en destacadas operaciones de ransomware centradas en la extorsión», dijo el investigador de seguridad Francis Gibernau. «RomCom ha pasado de ser un producto puramente lucrativo a una utilidad pública utilizada para administrar un Estado-nación».
Source link
