El actor de amenazas alineado con Rusia conocido como UAC-0184 Se ha observado que un ataque dirigido a entidades militares y gubernamentales de Ucrania aprovecha la plataforma de mensajería Viber para entregar archivos ZIP maliciosos.
«Esta organización ha seguido llevando a cabo actividades de recopilación de inteligencia de alta intensidad contra departamentos militares y gubernamentales de Ucrania en 2025», dijo el Centro de Inteligencia de Amenazas 360. dicho en un informe técnico.
También rastreado como Hive0156, el grupo de hackers es principalmente conocido para aprovechar señuelos con temas de guerra en correos electrónicos de phishing entregar Cargador de secuestro en ataques contra entidades ucranianas. Posteriormente, el cargador de malware actúa como vía para las infecciones Remcos RAT.
El actor de amenazas fue documentado por primera vez por CERT-UA a principios de enero de 2024. Las campañas de ataque posteriores han sido encontró aprovechar aplicaciones de mensajería como Signal y Telegram como vehículo de distribución de malware. Los últimos hallazgos de los proveedores de seguridad chinos apuntan a una mayor evolución de esta táctica.
La cadena de ataque implica el uso de Viber como vector de intrusión inicial para distribuir archivos ZIP maliciosos que contienen múltiples archivos de acceso directo de Windows (LNK) disfrazados de documentos oficiales de Microsoft Word y Excel para engañar a los destinatarios para que los abran.
Los archivos LNK están diseñados para servir como documento señuelo para que la víctima reduzca sus sospechas, mientras ejecuta silenciosamente Hijack Loader en segundo plano al recuperar un segundo archivo ZIP («smoothieks.zip») de un servidor remoto mediante un script de PowerShell.
El ataque reconstruye e implementa Hijack Loader en la memoria a través de un proceso de varias etapas que emplea técnicas como carga lateral de DLL y pisotón de módulos para evadir la detección por parte de las herramientas de seguridad. Luego, el cargador escanea el entorno en busca de software de seguridad instalado, como los relacionados con Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot y Microsoft, calculando el hash CRC32 del programa correspondiente.
Además de establecer la persistencia mediante tareas programadas, el cargador toma medidas para subvertir la detección de firmas estáticas antes de ejecutar de forma encubierta Remcos RAT inyectándolo en «chime.exe». La herramienta de administración remota otorga a los atacantes la capacidad de administrar el punto final, ejecutar cargas útiles, monitorear actividades y robar datos.
«Aunque se comercializa como software legítimo de gestión de sistemas, sus poderosas capacidades intrusivas hacen que varios atacantes maliciosos lo utilicen con frecuencia para actividades de ciberespionaje y robo de datos», dijo el 360 Threat Intelligence Center. «A través del panel de control de la interfaz gráfica de usuario (GUI) proporcionado por Remcos, los atacantes pueden realizar una gestión automatizada por lotes u operaciones interactivas manuales precisas en el host de la víctima».
Fuente