Las organizaciones ucranianas han surgido como objetivos de una nueva campaña probablemente orquestada por actores de amenazas vinculados a Rusia, según un informe del equipo de inteligencia de amenazas LAB52 de S2 Grupo.
Esta campaña, observada en febrero de 2026, se considera un duplicado de una campaña anterior lanzada por Laundry Bear (también conocida como UAC-0190 o Void Blizzard) dirigida a las Fuerzas Armadas de Ucrania utilizando una familia de malware conocida como PLUGGYAPE.
La campaña «despliega una puerta trasera basada en JavaScript ejecutada a través del navegador Edge utilizando una variedad de señuelos de temática judicial y filantrópica», dijo la firma de ciberseguridad. El malware, cuyo nombre en código es DRILLAPP, puede cargar y descargar archivos, usar el micrófono y capturar imágenes a través de una cámara web utilizando las capacidades de un navegador web.
Se han observado dos versiones diferentes de esta campaña, y la primera iteración se detectó a principios de febrero mediante el uso de un archivo de acceso directo de Windows (LNK) para crear una aplicación HTML (HTA) en una carpeta temporal y cargar un script remoto alojado en Pastefy, un servicio de pegado legítimo.
Para establecer la persistencia, el archivo LNK se copia a la carpeta de inicio de Windows para que se inicie automáticamente después de que se reinicie el sistema. Luego, la cadena de ataque muestra una URL que contiene un señuelo relacionado con la instalación de una organización benéfica ucraniana llamada Starlink o Come Back Alive Foundation.
En última instancia, el archivo HTML se ejecuta en modo sin cabeza a través del navegador Microsoft Edge y carga un script remoto ofuscado alojado en Pastefy.
El navegador se ejecuta con parámetros adicionales como -no-sandbox, -disable-web-security, -allow-file-access-from-files, -use-fake-ui-for-media-stream, -auto-select-screen-capture-source=true y -disable-user-media-security para permitir el acceso al sistema de archivos local, la cámara, el micrófono y la captura de pantalla sin necesidad de interacción del usuario.
Este artefacto actúa esencialmente como una puerta trasera liviana, facilitando el acceso al sistema de archivos y capturando audio del micrófono, video de la cámara e imágenes de la pantalla del dispositivo a través del navegador. También genera una huella digital del dispositivo en la primera ejecución utilizando una técnica llamada huella digital de lienzo y utiliza Pastefy como un solucionador de caída para recuperar la URL de WebSocket utilizada para la comunicación de comando y control (C2).
El malware envía los datos de las huellas dactilares del dispositivo junto con el país de la víctima determinado a partir de la zona horaria de la máquina. En concreto, comprueba si el huso horario corresponde a Reino Unido, Rusia, Alemania, Francia, China, Japón, Estados Unidos, Brasil, India, Ucrania, Canadá, Australia, Italia, España y Polonia. De lo contrario, pasará por defecto a EE. UU.
La segunda versión de esta campaña, descubierta a finales de febrero de 2026, omite los archivos LNK del módulo del Panel de control de Windows y deja la secuencia de infección prácticamente intacta. Otro cambio notable tiene que ver con la propia puerta trasera, que se ha actualizado para permitir la enumeración recursiva de archivos, cargas de archivos por lotes y descargas de archivos arbitrarios.
LAB52 dijo: «Por razones de seguridad, JavaScript no permite la descarga remota de archivos». «Es por eso que los atacantes usan el Protocolo Chrome DevTools (CDP). CDP es un protocolo interno en los navegadores basados en Chromium que solo se puede usar cuando el parámetro -remote-debugging-port está habilitado».
Todavía se cree que esta puerta trasera se encuentra en las primeras etapas de desarrollo. Se observó que la variante inicial del malware detectada el 28 de enero de 2026 solo se comunicaba con el dominio “gnome(.)com” en lugar de descargar la carga principal de Pastefy.
«Uno de los aspectos más notables es el uso de navegadores para implementar puertas traseras, lo que sugiere que los atacantes están buscando nuevas formas de evadir la detección», dijo el proveedor de seguridad español.
«Los navegadores son ventajosos para este tipo de actividad porque son procesos comunes y generalmente sospechosos, proporcionan extensiones a las que se puede acceder a través de parámetros de depuración que permiten acciones inseguras como la descarga de archivos remotos y pueden proporcionar acceso legítimo a recursos confidenciales como micrófonos, cámaras y grabaciones de pantalla sin previo aviso».
Source link
