Los actores de amenazas patrocinados por el Estado ruso han sido vinculados a una nueva serie de ataques de recolección de credenciales dirigidos a personas asociadas con una agencia turca de investigación energética y nuclear, así como a personal afiliado a un grupo de expertos europeo y a organizaciones en Macedonia del Norte y Uzbekistán.
La actividad se ha atribuido a APT28 (también conocido como BlueDelta), que se ha atribuido a una «sostenida» campaña de recolección de credenciales Dirigirse a los usuarios de UKR.[.]neto el mes pasado. APT28 está asociado con la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU).
«El uso de material señuelo en idioma turco y dirigido a regiones regionales sugiere que BlueDelta adaptó su contenido para aumentar la credibilidad entre audiencias profesionales y geográficas específicas», dijo Insikt Group de Recorded Future. dicho. «Estas selecciones reflejan un interés continuo en organizaciones relacionadas con la investigación energética, la cooperación en defensa y las redes de comunicación gubernamentales relevantes para las prioridades de la inteligencia rusa».
La empresa de ciberseguridad describió los ataques como dirigidos a un conjunto pequeño pero distinto de víctimas en febrero y septiembre de 2025, y la campaña aprovechó páginas de inicio de sesión falsas diseñadas para parecerse a servicios populares como Microsoft Outlook Web Access (OWA), Google y los portales VPN de Sophos.
Los esfuerzos son notables por el hecho de que los usuarios desprevenidos son redirigidos a sitios legítimos después de ingresar las credenciales en las páginas de destino falsas, evitando así generar señales de alerta. También se ha descubierto que las campañas se apoyan en gran medida en servicios como Webhook.[.]site, InfinityFree, Byet Internet Services y ngrok para alojar las páginas de phishing, filtrar datos robados y habilitar redirecciones.
En un nuevo intento de darles una apariencia de legitimidad, se dice que los actores de la amenaza utilizaron documentos PDF legítimos como señuelo, incluida una publicación del Centro de Investigación del Golfo relacionada con el Junio de 2025 Guerra Irán-Israel y una sesión informativa sobre políticas de julio de 2025 en la que se pide una nuevo pacto por el mediterráneo publicado por el grupo de expertos sobre cambio climático ECCO.
La cadena de ataque comienza con un correo electrónico de phishing que contiene un enlace acortado que, al hacer clic, redirige a las víctimas a otro enlace alojado en el webhook.[.]sitio, que muestra brevemente el documento señuelo durante aproximadamente dos segundos antes de redirigir a un segundo webhook[.]sitio que aloja una página de inicio de sesión falsificada de Microsoft OWA.
Dentro de esta página hay un elemento de formulario HTML oculto que almacena el webhook.[.]URL del sitio y utiliza JavaScript para enviar un
baliza de «página abierta», transmite las credenciales enviadas al punto final del webhook y, en última instancia, redirige de nuevo al PDF alojado en el sitio web real.
También se ha observado a APT28 realizando otras tres campañas:
- Una campaña de junio de 2025 que implementó una página de recolección de credenciales que imitaba una página de restablecimiento de contraseña de Sophos VPN alojada en una infraestructura proporcionada por InfinityFree para recolectar las credenciales ingresadas en el formulario y redirigir a las víctimas a un portal legítimo de Sophos VPN que pertenece a un grupo de expertos anónimo de la UE.
- Una campaña de septiembre de 2025 que utilizó páginas de recolección de credenciales alojadas en dominios InfinityFree para advertir falsamente a los usuarios sobre contraseñas caducadas para engañarlos para que ingresaran sus credenciales y redirigirlos a una página de inicio de sesión legítima asociada con una organización militar en la República de Macedonia del Norte y un integrador de TI con sede en Uzbekistán.
- Una campaña de abril de 2025 que utilizó una página falsa de restablecimiento de contraseña de Google alojada en Byet Internet Services para recopilar las credenciales de las víctimas y filtrarlas a una URL ngrok.
«El abuso constante por parte de BlueDelta de la infraestructura legítima de servicios de Internet demuestra la continua dependencia del grupo de servicios desechables para alojar y transmitir datos de credenciales», dijo la compañía propiedad de Mastercard. «Estas campañas subrayan el compromiso sostenido del GRU con la recolección de credenciales como un método de bajo costo y alto rendimiento para recopilar información que respalde los objetivos de la inteligencia rusa».
Fuente