El actor de amenazas patrocinado por el estado ruso conocido como APT28 se ha atribuido a lo que se ha descrito como una campaña de recolección de credenciales «sostenida» dirigida a los usuarios de UKR[.]net, un servicio de noticias y correo web popular en Ucrania.
La actividad, observada por Insikt Group de Recorded Future entre junio de 2024 y abril de 2025, se basa en hallazgos previos de la empresa de ciberseguridad en mayo de 2024 que detallaba los ataques del grupo de piratas informáticos dirigidos a redes europeas con el malware HeadLace y páginas web de recolección de credenciales.
APT28 también se rastrea como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422. Se considera que está afiliado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
Los últimos ataques se caracterizan por el despliegue de UKR[.]páginas de inicio de sesión con temas de red en servicios legítimos como Mocky para atraer a los destinatarios a ingresar sus credenciales y códigos de autenticación de dos factores (2FA). Los enlaces a estas páginas están integrados en documentos PDF que se distribuyen a través de correos electrónicos de phishing.
Los enlaces se acortan utilizando servicios como tiny[.]cc o pequeña URL[.]com. En algunos casos, también se ha observado que el actor de amenazas utiliza subdominios creados en plataformas como Blogger (*.blogspot[.]com) para lanzar una cadena de redireccionamiento de dos niveles que conduce a la página de recolección de credenciales.
Los esfuerzos son parte de un conjunto más amplio de operaciones de phishing y robo de credenciales orquestadas por el adversario desde mediados de la década de 2000 dirigidas a instituciones gubernamentales, contratistas de defensa, proveedores de armas, empresas de logística y grupos de expertos en políticas en pos de los objetivos estratégicos de Rusia.
«Si bien esta campaña no revela objetivos específicos, el enfoque histórico de BlueDelta en el robo de credenciales para permitir la recopilación de inteligencia proporciona fuertes indicadores de una probable intención de recopilar información confidencial de usuarios ucranianos en apoyo de requisitos de inteligencia más amplios de GRU», dijo la compañía propiedad de Mastercard en un informe compartido con The Hacker News.
Lo que ha cambiado es la transición del uso de enrutadores comprometidos a servicios de túnel proxy como ngrok y Serveo para capturar y transmitir las credenciales robadas y los códigos 2FA.
«El continuo abuso por parte de BlueDelta del alojamiento gratuito y de la infraestructura de túnel anonimizada probablemente refleja una respuesta adaptativa a Desmantelamiento de infraestructuras liderado por Occidente a principios de 2024″, dijo Recorded Future. «La campaña destaca el persistente interés del GRU en comprometer las credenciales de los usuarios ucranianos para apoyar las operaciones de recopilación de inteligencia en medio de la guerra en curso de Rusia en Ucrania».
Fuente