Investigadores de ciberseguridad han revelado detalles de una campaña coordinada de phishing denominada FantasmaCaptcha dirigido a organizaciones asociadas con los esfuerzos de ayuda de guerra de Ucrania para entregar un troyano de acceso remoto que utiliza un WebSocket para comando y control (C2).
La actividad, que tuvo lugar el 8 de octubre de 2025, estuvo dirigida a miembros individuales de la Cruz Roja Internacional, el Consejo Noruego para los Refugiados, la oficina de Ucrania del Fondo de las Naciones Unidas para la Infancia (UNICEF), el Consejo Noruego para los Refugiados, el Registro de Daños en Ucrania del Consejo de Europa y las administraciones gubernamentales regionales de Ucrania en las regiones de Donetsk, Dnipropetrovsk, Poltava y Mikolaevsk, SentinelOne. dicho en un nuevo informe publicado hoy.
Se ha descubierto que los correos electrónicos de phishing se hacen pasar por la Oficina del Presidente de Ucrania y contienen un documento PDF con una trampa explosiva que contiene un enlace incrustado que, al hacer clic, redirige a las víctimas a un sitio Zoom falso («zoomconference[.]app») y los engaña para que ejecuten un comando PowerShell malicioso a través de un Hacer clic en arreglar–estilo Página falsa CAPTCHA de Cloudflare bajo la apariencia de una verificación del navegador.
La página falsa de Cloudflare actúa como intermediario al configurar una conexión WebSocket con un servidor controlado por un atacante y transmite un ID de cliente generado por JavaScript, y el navegador lleva a la víctima a una reunión de Zoom legítima y protegida con contraseña si el servidor WebSocket responde con un identificador coincidente.
Se sospecha que esta ruta de infección probablemente esté reservada para llamadas de ingeniería social en vivo con las víctimas, aunque SentinelOne dijo que no observó a los actores de amenazas activando esta línea de ataque durante su investigación.
El comando de PowerShell ejecutado después de pegarlo en el cuadro de diálogo Ejecutar de Windows conduce a un descargador ofuscado que es el principal responsable de recuperar y ejecutar una carga útil de segunda etapa desde un servidor remoto. Este malware de segunda etapa realiza un reconocimiento del host comprometido y lo envía al mismo servidor, que luego responde con el troyano de acceso remoto PowerShell.
«La carga útil final es un WebSocket RAT alojado en una infraestructura de propiedad rusa que permite la ejecución remota arbitraria de comandos, la filtración de datos y el posible despliegue de malware adicional», dijo el investigador de seguridad Tom Hegel. «El RAT basado en WebSocket es una puerta trasera de ejecución remota de comandos, efectivamente un shell remoto que le da al operador acceso arbitrario al host».
El malware se conecta a un servidor WebSocket remoto en «wss://bsnowcommunications[.]com:80» y está configurado para recibir mensajes JSON codificados en Base64 que incluyen un comando que se ejecutará con Invoke-Expression o ejecutar una carga útil de PowerShell. Los resultados de la ejecución se empaquetan posteriormente en una cadena JSON y se envían al servidor a través de WebSocket.
Un análisis más detallado de los envíos de VirusTotal ha determinado que el PDF armado de 8 páginas se ha subido desde múltiples ubicaciones, incluidas Ucrania, India, Italia y Eslovaquia, lo que probablemente indica un objetivo amplio.
SentinelOne señaló que los preparativos para la campaña comenzaron el 27 de marzo de 2025, cuando los atacantes registraron el dominio «goodhillsenterprise[.]com», que se ha utilizado para servir los scripts de malware PowerShell ofuscados. Curiosamente, la infraestructura asociada con «zoomconference[.]Se dice que la aplicación» estuvo activa solo durante un día el 8 de octubre.
Esto sugiere «una planificación sofisticada y un fuerte compromiso con la seguridad operativa», señaló la compañía, añadiendo que también descubrió aplicaciones falsas alojadas en el dominio «princess-mens[.]click» que tienen como objetivo recopilar geolocalización, contactos, registros de llamadas, archivos multimedia, información del dispositivo, lista de aplicaciones instaladas y otros datos de dispositivos Android comprometidos.
La campaña no ha sido atribuida a ningún actor o grupo de amenazas conocido, aunque el uso de ClickFix se superpone con el de los ataques recientemente revelados organizados por el grupo vinculado a Rusia. CONDUCTOR DE FRÍO grupo de hackers.
«La campaña PhantomCaptcha refleja un adversario altamente capaz, que demuestra una amplia planificación operativa, infraestructura compartimentada y control de exposición deliberado», dijo SentinelOne.
«El período de seis meses entre el registro inicial de la infraestructura y la ejecución del ataque, seguido por la rápida eliminación de los dominios de cara al usuario mientras se mantiene el comando y control del backend, destaca a un operador bien versado tanto en el oficio ofensivo como en la evasión de detección defensiva».
Fuente