Las organizaciones ucranianas están siendo atacadas por atacantes de origen ruso con el objetivo de desviar datos confidenciales y mantener un acceso persistente a las redes comprometidas.
La campaña se dirigió a grandes organizaciones de servicios empresariales durante dos meses y a gobiernos locales de todo el país durante una semana, según un nuevo informe de Symantec y el equipo Carbon Black Threat Hunters.
El ataque utilizó principalmente tácticas Living Off-The Land (LotL) y herramientas de doble uso, combinadas con un mínimo de malware para reducir la huella digital y permanecer sin ser detectado durante largos períodos de tiempo.
«El atacante obtuvo acceso a una organización de servicios empresariales mediante la implementación de un shell web en un servidor público, probablemente explotando una o más vulnerabilidades sin parches», dijo el equipo de ciberseguridad propiedad de Broadcom en un informe compartido con Hacker News.
Uno de los web shells utilizados en el ataque fue Localolive. Microsoft informó anteriormente que estaba siendo utilizado por un subgrupo del equipo Sandworm vinculado a Rusia como parte de una campaña de varios años con el nombre en código BadPilot. LocalOlive está diseñado para facilitar la entrega de cargas útiles de la siguiente etapa, como Chisel, plink y rsockstun. Ha estado en uso desde al menos la segunda mitad de 2021.
Los primeros signos de actividad maliciosa dirigida a organizaciones de servicios empresariales se remontan al 27 de junio de 2025, cuando los atacantes utilizaron ese punto de apoyo para colocar un shell web y utilizarlo para realizar reconocimientos. También se ha encontrado que los actores de amenazas ejecutan comandos de PowerShell para excluir las descargas de la máquina de los análisis antivirus de Microsoft Defender y configurar tareas programadas para realizar volcados de memoria cada 30 minutos.
Durante las siguientes semanas, los atacantes llevaron a cabo diversos actos, entre ellos:
Guarde una copia del subárbol del registro en un archivo denominado 1.log. También suelte un shell web. Enumere todos los archivos en el directorio de usuarios utilizando el shell web. Ejecute el comando para enumerar todos los procesos en ejecución que comiencen con «kee». Es probable que esto tenga como objetivo la bóveda de almacenamiento de contraseñas de KeePass. Enumere todas las sesiones de usuario activas en la segunda máquina. Ejecute los archivos ejecutables llamados «service.exe» y «cloud.exe» ubicados en su carpeta de descargas. Ejecute comandos de reconocimiento en la tercera máquina para volcar la memoria usando la herramienta de diagnóstico de fugas de recursos de Microsoft Windows (RDRLeakDiag). Modifique el registro para permitir conexiones RDP y conexiones RDP entrantes. Ejecute comandos de PowerShell para obtener información sobre la configuración de Windows de la cuarta máquina. Ejecute RDPclip para acceder al Portapapeles para conexiones de escritorio remoto. Instale OpenSSH para facilitar el acceso remoto a la computadora. Permita el tráfico TCP en el puerto 22 del servidor OpenSSH. Ejecute un comando de PowerShell. Cree una tarea programada para ejecutar una tarea desconocida Ejecute una puerta trasera de PowerShell (link.ps1) cada 30 minutos usando una cuenta de dominio Ejecute un script Python desconocido Implemente la aplicación de administración de enrutadores MikroTik genuina (‘winbox64.exe’) en la carpeta de descargas
Curiosamente, CERT-UA también documentó la presencia de “winbox64.exe” en abril de 2024 en relación con una campaña Sandworm dirigida a proveedores ucranianos de energía, agua y calefacción.
Symantec y Carbon Black dijeron que no encontraron evidencia de gusanos de arena en la brecha, pero que «parece ser de origen ruso». La firma de ciberseguridad también reveló que el ataque se caracterizó por varias puertas traseras de PowerShell y la introducción de un archivo ejecutable sospechoso que probablemente sea malware. Sin embargo, ninguno de estos artefactos fue capturado para su análisis.
«Aunque la cantidad de malware utilizado por los atacantes durante el ataque fue limitada, gran parte de la actividad maliciosa que tuvo lugar involucró herramientas legítimas, ya sea Living-off-the-Land o software de doble uso, implementadas por los atacantes», dijeron Symantec y Carbon Black.
«Los atacantes demostraron un profundo conocimiento de las herramientas nativas de Windows y demostraron cómo un atacante hábil puede proceder con un ataque para robar credenciales y otra información confidencial dejando una huella mínima en la red del objetivo».
Esta divulgación se produce cuando Gen Threat Labs detalla cómo Gamaredon aprovechó una falla de seguridad actualmente parcheada en WinRAR (CVE-2025-8088, puntuación CVSS: 8,8) para atacar a las agencias gubernamentales ucranianas.
En una publicación sobre «Estos señuelos están diseñados para engañar a las víctimas para que abran archivos armados, continuando con el patrón de ataques agresivos visto en campañas anteriores».
Los hallazgos siguen a un informe de Recorded Future que encontró que el ecosistema de cibercrimen de Rusia está siendo moldeado activamente por campañas internacionales de aplicación de la ley como la Operación Endgame, y que la relación entre el gobierno ruso y los grupos de cibercrimen está pasando de una tolerancia pasiva a una gestión activa.
Un análisis más detallado de los chats filtrados reveló que los líderes de estos grupos de amenazas a menudo mantienen relaciones con agencias de inteligencia rusas, proporcionándoles datos, realizando misiones o utilizando sobornos y conexiones políticas para lograr impunidad. Al mismo tiempo, los ciberdelincuentes están descentralizando sus operaciones para evadir la vigilancia occidental y nacional.
Si bien se sabe desde hace mucho tiempo que los ciberdelincuentes rusos son libres de operar siempre que no apunten a empresas u organizaciones que operan en la región, el Kremlin ahora parece estar adoptando un enfoque más matizado, reclutando y reclutando según sea necesario, haciendo la vista gorda cuando los ataques son en su propio interés y aplicando leyes selectivamente cuando los atacantes son «políticamente inconvenientes o públicamente vergonzosos».
Los «contratos negros» son vistos como una combinación de varios factores, incluidas empresas comerciales, herramientas para influir y adquirir información, y responsabilidad en casos de amenazas a la estabilidad interna o presión occidental.
«Las organizaciones cibercriminales clandestinas de Rusia están fracturadas bajo la doble presión del control estatal y la desconfianza interna, mientras que el monitoreo de foros independientes y las conversaciones de afiliados sobre ransomware indican una creciente paranoia entre sus operadores», dijo la compañía en la tercera entrega de su informe Dark Covenant.
Source link
