La introducción de la inteligencia artificial (IA) en los ciberataques a Ucrania por parte de piratas informáticos rusos ha alcanzado un nuevo nivel en el primer semestre de 2025 (primer semestre de 2025), anunció el Servicio Estatal Especial de Protección de la Información y las Comunicaciones (SSSCIP) del país.
«Los piratas informáticos ahora están usando esto para hacer algo más que generar mensajes de phishing. Algunas de las muestras de malware que analizamos mostraron signos claros de haber sido generadas por IA, y los atacantes definitivamente no tienen la intención de detenerse allí», dijo la agencia en un informe publicado el miércoles.
Según SSSCIP, se registraron 3.018 incidentes cibernéticos durante el mismo período, frente a 2.575 en la segunda mitad de 2024 (segundo semestre de 2024). En comparación con la segunda mitad de 2024, los ataques contra gobiernos locales y organizaciones militares aumentaron, mientras que los ataques contra gobiernos y el sector energético disminuyeron.
Un ataque notable observado fue cuando UAC-0219 utilizó malware llamado WRECKSTEEL en ataques contra oficinas del gobierno estatal e instalaciones de infraestructura crítica en el país. Hay evidencia que sugiere que el malware de robo de datos PowerShell se desarrolló utilizando herramientas de inteligencia artificial.
Algunas de las otras campañas registradas contra Ucrania se enumeran a continuación.
Una campaña de phishing organizada por UAC-0218 dirigida a las Fuerzas Armadas para entregar HOMESTEEL utilizando archivos RAR con trampas explosivas. Una campaña de phishing organizada por UAC-0226 dirigida a organizaciones involucradas en el desarrollo de innovaciones en el sector de la industria de defensa, gobiernos locales, unidades militares y agencias de aplicación de la ley con el objetivo de distribuir un ladrón llamado GIFTEDCROOK UAC-0227 Campañas de phishing dirigidas a residentes locales, organizadas por autoridades, instalaciones de infraestructura crítica, Centros Regionales de Reclutamiento y Apoyo Social (TRC y SSC). Una campaña de phishing organizada por UAC-0125, un subclúster asociado con Sandworm, que enviaba mensajes de correo electrónico que contenían enlaces a sitios web haciéndose pasar por ESET. Ofrecer una puerta trasera basada en C# llamada Kalambur (también conocida como SUMBUR) bajo la apariencia de un programa de eliminación de amenazas.
SSSCIP se ha vinculado a atacantes APT28 (también conocido como UAC-0001) vinculados a Rusia que utilizan Roundcube (CVE-2023-43770, CVE-2024-37383, CVE-202) 5-49113) y Zimbra (CVE-2024-27443, CVE-2025-27915). Software de correo web que realiza ataques sin clic.
«Al explotar tales vulnerabilidades, un atacante normalmente inyecta código malicioso a través de la API de Roundcube o Zimbra para obtener acceso a credenciales, listas de contactos y filtros configurados para reenviar todo el correo electrónico a un buzón controlado por el atacante», dijo SSSCIP.
«Otra forma de robar credenciales utilizando estas vulnerabilidades era crear un bloque HTML oculto (visibilidad: oculto) con campos de entrada de inicio de sesión y contraseña con el atributo autocompletar=»on» establecido. Esto permitía que los campos se completaran automáticamente con datos almacenados en el navegador, que luego quedaban expuestos.
La agencia también reveló que Rusia continúa participando en una guerra híbrida, sincronizando ataques cinéticos en el campo de batalla y operaciones cibernéticas con el grupo Sandworm (UAC-0002) dirigido a organizaciones de los sectores de energía, defensa, proveedores de servicios de Internet e investigación.
Además, varios grupos de amenazas que apuntan a Ucrania están explotando servicios legítimos como Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io y mocky.io para alojar malware y páginas de phishing o convertirlas en canales de filtración de datos.
«El uso de recursos legítimos en línea con fines maliciosos no es una táctica nueva», dijo SSSCIP. «Sin embargo, el número de plataformas de este tipo explotadas por piratas informáticos rusos ha aumentado constantemente en los últimos tiempos».
Source link
