Se ha observado que un actor alineado con Bielorrusia conocido como Ghostwriter (también conocido como UAC-0057 y UNC1151 Consejo de Seguridad y Defensa Nacional de Ucrania) ataca a agencias gubernamentales del país utilizando señuelos asociados con Prometheus, una plataforma ucraniana de aprendizaje en línea.
Según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), esta actividad implica el envío de correos electrónicos de phishing a agencias gubernamentales utilizando cuentas comprometidas. Estamos activos desde la primavera de 2026.
«Los correos electrónicos suelen incluir un archivo PDF adjunto con un enlace que, al hacer clic, conduce a la descarga de un archivo ZIP que contiene un archivo JavaScript», dijo la agencia en un informe del jueves.
El archivo JavaScript, llamado OYSTERFRESH, está diseñado para mostrar un documento señuelo como mecanismo de distracción mientras escribe en secreto una carga útil ofuscada y cifrada llamada OYSTERBLUES en el registro de Windows, además de descargar e iniciar OYSTERSHUCK, que es responsable de decodificar OYSTERBLUES.
OYSTERBLUES tiene la capacidad de recopilar una amplia gama de información del sistema, incluido el nombre de la computadora, la cuenta de usuario, la versión del sistema operativo, la hora del último inicio del sistema operativo y la lista de procesos en ejecución. Los datos recopilados se envían a un servidor de comando y control (C2) a través de una solicitud HTTP POST.
Luego espera más respuestas que contengan la siguiente etapa del código JavaScript. Este código se ejecuta utilizando la función eval(). Se considera que la carga útil final será Cobalt Strike, un marco de simulación de adversario que se explota ampliamente para actividades posteriores a la explotación.
«Para reducir el potencial de explotación de esta amenaza cibernética, es prudente reducir la superficie de ataque aplicando enfoques básicos conocidos, incluida la restricción de la capacidad de ejecutar wscript.exe, especialmente para cuentas de usuario estándar», dijo CERT-UA.
Las revelaciones se produjeron después de que el Consejo de Defensa y Seguridad Nacional de Ucrania revelara que Rusia está utilizando herramientas de inteligencia artificial (IA) como OpenAI ChatGPT y Google Gemini para espiar objetivos e incrustar la tecnología en malware para generar comandos maliciosos cuando se ejecutan, solicitando un grupo de hackers respaldado por el Kremlin para obtener la información y llevar a cabo ataques cibernéticos destinados a mantener una presencia a largo plazo en las redes comprometidas y para exploits posteriores, como apoyar operaciones de influencia.
«Los principales vectores de intrusión inicial en 2025 fueron la ingeniería social, la explotación de vulnerabilidades, el uso de cuentas RDP y VPN comprometidas, ataques a la cadena de suministro y el uso de software sin licencia que ya tenía puertas traseras integradas en la etapa de instalación», dijo el consejo. «Los atacantes se centraron en robar información confidencial, interceptar comunicaciones y rastrear la ubicación de sus objetivos».
En un acontecimiento relacionado, han surgido detalles de una campaña de propaganda pro-Kremlin que ha estado secuestrando las cuentas de usuarios reales de Bluesky y publicando contenido falso desde 2024. Las cuentas comprometidas también incluían a periodistas y profesores universitarios. La actividad fue llevada a cabo por una empresa con sede en Moscú llamada Social Design Agency y se dice que está asociada con una campaña conocida como Matryoshka. En algunos de estos casos, Bluesky tomó medidas para suspender las cuentas hasta que los propietarios iniciaran un reinicio.
Source link
