Los actores de amenaza sospechosos de los lazos con Rusia se observan utilizando las características de la cuenta de Google llamadas contraseñas específicas de la aplicación (o contraseñas de aplicaciones) como parte de una nueva táctica de ingeniería social diseñada para acceder a los correos electrónicos de las víctimas.
Los detalles sobre la campaña altamente específica han sido revelados por Google Threat Intelligence Group (GTIG) y Citizen Lab, diciendo que la actividad está intentando hacerse pasar por el Departamento de Estado de los Estados Unidos.
«Desde al menos abril hasta principios de junio de 2025, el actor apuntó a destacados académicos y críticos rusos, a menudo utilizando amplios edificios de confianza y druladores a medida para persuadir al objetivo de establecer contraseñas específicas de la aplicación (ASP).
«Cuando un objetivo comparte un código de acceso ASP, el atacante establece acceso permanente al buzón de la víctima».
Esta actividad se atribuye a un clúster de amenazas rastreado por Google como UNC6293 y puede estar relacionado con un grupo de piratería patrocinado por el estado ruso llamado APT29 (también conocido como BlueBravo, Ursa, Cloked USSA, Cozylarch, Cozy Bear, ICECAP, Midnight Blizzard, Dukes).
La ingeniería social se desarrollará durante varias semanas para establecer relaciones con su objetivo.
Esto le prestará un correo electrónico de phishing benigno lleno de invitaciones que contienen cuatro o más direcciones ficticias diferentes, incluida la dirección de correo electrónico de la línea CC «@state.gov» y una chapa confiable.
«El objetivo es que, si esto no es legal, uno de estos empleados del Departamento de Estado dirá algo, especialmente si respondo y lo retengo a la línea CC», dijo el Instituto de Investigación Cívica.
«Los atacantes creen que el servidor de correo electrónico del Departamento de Estado está claramente configurado para aceptar todos los mensajes y que no liberan una respuesta de ‘rebote’ incluso si la dirección no existe».
Esto muestra que estos ataques se planifican meticulosamente y se ejecutan para engañar a las víctimas para que dividan un código de contraseña de 16 dígitos, dando permiso para acceder al buzón con el pretexto de permitir la «comunicación segura entre empleados internos y socios externos».
Google describe las contraseñas para estas aplicaciones como métodos para aplicaciones o dispositivos menos seguros, y describe la capacidad de acceder a las cuentas de Google de usuarios con autenticación de dos factores (2FA) habilitada.
«El uso de la verificación de dos etapas puede bloquear algunas aplicaciones y dispositivos menos seguros para acceder a su cuenta de Google», dijo la compañía. «Las contraseñas de aplicaciones son una forma de habilitar aplicaciones o dispositivos bloqueados para acceder a su cuenta de Google».
El primer mensaje está diseñado para obtener respuestas del objetivo para configurar una reunión, luego envía un documento PDF que enumera una serie de pasos para crear una contraseña de aplicación para acceder de forma segura y compartir su código en un entorno de la nube de departamento falso.
«El atacante establece un cliente de correo electrónico para usar un ASP y usa el ASP con el objetivo final de acceder y leer las comunicaciones por correo electrónico de la víctima», dijo Gtig. «Este método permite al atacante tener acceso permanente a la cuenta».
Google observó una segunda campaña que incluía un tema ucraniano, diciendo que los atacantes fueron iniciados en cuentas de víctimas que evitan la detección, principalmente utilizando el proxy de viviendas y los servidores VPS. La compañía dijo que ha tomado medidas para asegurar cuentas que han sido violadas por la campaña.
La relación UNC6293 con APT29 proviene de una serie de ataques de ingeniería social similares que obtuvieron acceso no autorizado a cuentas de Microsoft 365 desde principios de año, aprovechando nuevas técnicas como el código de dispositivo Phishing and Devices.
La participación en el dispositivo es particularmente notable por el hecho de que engaña a la víctima para que envíe el código OAuth generado por Microsoft al atacante y secuestre la cuenta.
«Desde abril de 2025, Microsoft ha observado presuntos actores de amenaza relacionados con Rusia utilizando mensajes de aplicaciones de terceros o correos electrónicos que se refieren a invitaciones para las próximas reuniones para proporcionar enlaces maliciosos con códigos de autorización válidos», reveló Microsoft el mes pasado.
«Cuando hace clic, el enlace devuelve un token para el servicio de registro del dispositivo, lo que permite que el dispositivo del actor de amenaza se registre con el inquilino».
Source link
