Investigadores de ciberseguridad han revelado detalles de una campaña activa de phishing dirigida a una amplia gama de sectores en Rusia con correos electrónicos de phishing que entregan Phantom Stealer a través de imágenes maliciosas de discos ópticos ISO.
La operación, denominada Operación MoneyMount-ISO por Seqrite Labs, se dirige principalmente a organizaciones financieras y contables, y las organizaciones de los sectores de adquisiciones, legal y de nómina emergieron como objetivos secundarios.
«Esta campaña aprovecha señuelos de verificación de pagos falsos para entregar malware fantasma de robo de información a través de una cadena de archivos adjuntos de varios pasos», dijo la firma de ciberseguridad.
La cadena de infección comienza con un correo electrónico de phishing disfrazado de comunicación financiera legítima, que incita a los destinatarios a comprobar sus transferencias bancarias recientes. El correo electrónico viene con un archivo ZIP adjunto que dice contener detalles adicionales, pero en su lugar contiene un archivo ISO que se monta en el sistema como una unidad de CD virtual al inicio.
La imagen ISO (“Подтверждение банковского перевода.iso” o “Bank Transfer Confirmation.iso”) actúa como un archivo ejecutable diseñado para iniciar Phantom Stealer con una DLL integrada (“CreativeAI.dll”).
Phantom Stealer puede extraer datos de las extensiones del navegador de billeteras de criptomonedas instaladas en navegadores basados en Chromium y aplicaciones de billeteras de escritorio, así como archivos, tokens de autenticación de Discord, contraseñas relacionadas con el navegador, cookies y detalles de tarjetas de crédito.
También monitorea el contenido del portapapeles, registra las pulsaciones de teclas y realiza una serie de comprobaciones para detectar entornos virtuales, de zona de pruebas o de análisis, y cancela la ejecución si existe. La exfiltración de datos se produce a través de bots de Telegram o webhooks de Discord controlados por atacantes. Además, Stealer permite la transferencia de archivos a servidores FTP.
En los últimos meses, las organizaciones rusas, principalmente los departamentos de recursos humanos y nómina, también han sido blanco de correos electrónicos de phishing que utilizan cebos relacionados con bonificaciones y políticas financieras internas para implementar un implante previamente no documentado llamado DUPERUNNER que carga el marco de comando y control (C2) de código abierto AdaptixC2.
Se cree que la campaña, denominada DupeHike, se origina a partir de un grupo de amenazas llamado UNG0902.
«ZIP se utiliza como fuente preliminar para una infección basada en phishing que incluye un señuelo con extensiones PDF y LNK, descarga el implante DUPERUNNER y, en última instancia, ejecuta Adaptix C2 Beacon», dijo Seqrite.
Luego, el archivo LNK (‘Документ_1_О_размере_годовой_премии.pdf.lnk’ o ‘Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk’) se descarga a DUPERUNNER desde un servidor externo usando ‘powershell.exe’. Descargar. La función principal del implante es recuperar un PDF señuelo, mostrarlo e inyectarlo en procesos legítimos de Windows como ‘explorer.exe’, ‘notepad.exe’ y ‘msedge.exe’ para iniciar AdaptixC2.
Otras campañas de phishing se dirigieron a los sectores financiero, legal y aeroespacial de Rusia, distribuyendo herramientas maliciosas como Cobalt Strike y Formbook, DarkWatchman y PhantomRemote, que pueden realizar robo de datos y operaciones de teclado. El servidor de correo electrónico de una empresa rusa comprometida se utiliza para enviar mensajes de phishing.
La empresa francesa de ciberseguridad Intrinsec ha culpado de una serie de intrusiones dirigidas a la industria aeroespacial rusa a hacktivistas alineados con los intereses ucranianos. Detectada entre junio y septiembre de 2025, esta actividad se superpone con Hive0117, Operation CargoTalon y Rainbow Hyena (también conocida como Fairy Trickster, Head Mare y PhantomCore).
También se descubrió que algunos de estos esfuerzos redirigen a los usuarios a páginas de inicio de sesión de phishing alojadas en InterPlanetary File System (IPFS) y Vercel con el objetivo de robar credenciales asociadas con Microsoft Outlook y la empresa aeroespacial rusa Bureau 1440.
«Las operaciones observadas de junio a septiembre de 2025 (…) tenían como objetivo comprometer a las organizaciones que cooperaban activamente con el ejército ruso durante el actual conflicto con Ucrania y fueron evaluadas principalmente por las sanciones que les impusieron los países occidentales», dijo Intrinsek.
Source link
