Un grupo hacktivista proucraniano llamado núcleo fantasma se ha atribuido a ataques dirigidos activamente a servidores que ejecutan el software de videoconferencia TrueConf en Rusia desde septiembre de 2025.
Esto es según un informe publicado por Positive Technologies, que encontró que los actores de amenazas estaban aprovechando una cadena de exploits que comprende tres vulnerabilidades para ejecutar comandos de forma remota en servidores susceptibles.
«A pesar de que no existen exploits para esta cadena de vulnerabilidades de acceso público, los atacantes de PhantomCore lograron realizar sus investigaciones y reproducir las vulnerabilidades, lo que llevó a un gran número de casos de su funcionamiento en organizaciones rusas», afirman los investigadores Daniil Grigoryan y Georgy Khandozhko dicho.
núcleo fantasmatambién llamado Fairy Trickster, Head Mare, Rainbow Hyena y UNG0901, es el nombre asignado a un equipo de hackers con motivaciones políticas y financieras que ha estado activo desde 2022 tras la guerra ruso-ucraniana. Ataques montado por el grupo son conocidos por robar datos confidenciales e interrumpir las redes de destino, y en algunos casos incluso implementan ransomware basado en el código fuente filtrado de Babuk y LockBit.
«El grupo lleva a cabo operaciones a gran escala manteniendo un fuerte sigilo, permaneciendo invisible en las redes de las víctimas durante períodos prolongados, gracias a las actualizaciones continuas y la evolución de las herramientas ofensivas internas», señaló la compañía en septiembre de 2025.
El Vulnerabilidades del servidor TrueConf explotados en los ataques se enumeran a continuación:
- BDU:2025-10114 (Puntuación CVSS: 7,5): una vulnerabilidad de control de acceso insuficiente que podría permitir a un atacante realizar solicitudes a ciertos puntos finales administrativos (/admin/*) sin autenticación.
- BDU:2025-10115 (Puntuación CVSS: 7,5): una vulnerabilidad que podría permitir a un atacante leer archivos arbitrarios en el sistema.
- BDU-2025-10116 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de comandos que podría permitir a un atacante ejecutar comandos arbitrarios del sistema operativo.
La explotación exitosa de las tres vulnerabilidades podría permitir a un atacante eludir la autenticación y obtener acceso a la red de la organización. Aunque se implementaron parches de seguridad para abordar los problemas publicado por TrueConf El 27 de agosto de 2025, se detectaron los primeros ataques dirigidos a servidores TrueConf a mediados de septiembre de 2025, según Positive Technologies.
En los ataques observados por el proveedor de seguridad ruso, el compromiso del servidor TrueConf permitió a los actores de amenazas usarlo como trampolín para moverse lateralmente a través de la red interna y lanzar cargas útiles maliciosas para facilitar el reconocimiento, la evasión de defensa y la recolección de credenciales, así como configurar canales de comunicación utilizando utilidades de túnel.
Se dice que al menos uno de esos compromisos exitosos condujo a la implementación de un shell web basado en PHP que es capaz de cargar archivos en el host infectado y ejecutar comandos remotos, junto con un archivo PHP que funciona como un servidor proxy para disfrazar solicitudes maliciosas como provenientes de un servidor legítimo.
Algunas de las otras herramientas entregadas como parte del ataque son las siguientes:
- fantasmaPxPalomaun cliente de videoconferencia TrueConf malicioso que implementa un shell inverso para conectarse a un servidor remoto y recibir tareas para su posterior ejecución, lo que le permite ejecutar comandos, iniciar ejecutables y permitir que el tráfico se envíe a través del shell web antes mencionado.
- PhantomSscp (DLL), MacTunnelRat (PowerShell), PhantomProxyLite (PowerShell), para establecer un punto de apoyo en un entorno violado a través de un túnel SSH inverso
- ADRecon, para reconocimiento
- Veeam-Get-Credsuna versión modificada del script de PowerShell para recuperar contraseñas relacionadas con el software Veeam Backup & Replication
- DumpIt y MemProcFS, para recolección de credenciales
- Administración remota de Windows (WinRM) y Protocolo de escritorio remoto (RDP), para movimiento lateral dentro del perímetro de la red
- velociraptorpara acceso remoto
- microcalcetines, rsocxy calcetinespara controlar hosts comprometidos desde una infraestructura controlada por atacantes utilizando un proxy SOCKS
Algunas intrusiones han utilizado una DLL para crear un usuario fraudulento llamado «TrueConf2» con privilegios administrativos en un servidor de videoconferencia comprometido.
También se ha descubierto que las cadenas de ataque de PhantomCore utilizan señuelos de phishing para el acceso inicial a organizaciones rusas en enero y febrero de 2026, utilizando archivos ZIP o RAR diseñados para distribuir una puerta trasera que puede ejecutar comandos remotos en el host y servir cargas útiles arbitrarias.
«El grupo PhantomCore es uno de los grupos más activos en el panorama de amenazas ruso», concluyeron los investigadores. «Su arsenal incluye herramientas disponibles públicamente (Velociraptor, Memprocfs, Dokan, DumpIt) y herramientas patentadas (MacTunnelRAT, PhantomSscp, PhantomProxyLite). El grupo se dirige a organizaciones gubernamentales y privadas en una amplia gama de industrias».
«PhantomCore busca activamente vulnerabilidades en el software nacional, desarrolla exploits y, por tanto, consigue la capacidad de infiltrarse en un gran número de empresas rusas».
En los últimos meses, los sectores industrial y de aviación en Rusia han sido blanco de campañas de phishing orquestadas por un grupo con motivación financiera llamado tapaFIX implementar una puerta trasera denominada CapDoor que puede ejecutar comandos de PowerShell, archivos DLL y ejecutables recuperados de un servidor remoto, instalar archivos MSI y tomar capturas de pantalla. El apodo CapFIX es una referencia al hecho de que CapDoor se descubrió por primera vez en 2025 y se distribuyó mediante el Hacer clic en arreglar táctica de ingeniería social.
Un análisis más profundo de las campañas del actor de amenazas en octubre y noviembre de 2025 ha descubierto el uso de ClickFix por parte del actor de amenazas para implementar familias de malware disponibles en el mercado como asíncrono y SectorRAT.
«Si bien el grupo anteriormente dependía de correos electrónicos de phishing con temas financieros (criptomonedas y cualquier cosa relacionada con el dinero), ahora están enmascarando cada vez más sus correos electrónicos como comunicaciones oficiales de agencias gubernamentales», dijo Positive Technologies. dicho.
PhantomCore y CapFIX se encuentran entre una lista cada vez mayor de grupos de actividades de amenazas que han organizado ataques contra entidades rusas. Algunos de los otros grupos destacados incluyen:
- Geo Likhoque se ha dirigido principalmente a los sectores de la aviación y el transporte marítimo en Rusia y Bielorrusia desde julio de 2024, mediante ataques de phishing que generan malware para robar información. También se han detectado infecciones aisladas en Alemania, Serbia y Hong Kong, y se sospecha que son accidentales.
- Likho míticoque utiliza señuelos de phishing por correo electrónico para entregar cargadores como HuLoader, Esmerejón (a Agente mítico), o ReflectPulse que están diseñados para desempaquetar la carga útil final, una puerta trasera llamada Loki esa es una versión compatible con Mythic de un agente diseñado para Estragos marco posterior a la explotación. La evidencia ha indicado que el grupo comparte vínculos con otro grupo conocido como excobaltodebido al uso del rootkit propietario de este último, Megatsune.
- Hombre lobo de papel (también conocido como GOFFEE), que ha utilizado un canal dedicado de Telegram para distribuir un troyano llamado ecoreunir bajo la apariencia de una herramienta para agregar dispositivos Starlink a una lista de excepciones, además de compartir enlaces a páginas de phishing diseñadas para recopilar las credenciales de la cuenta de Telegram de las víctimas. También se ha observado que el grupo utiliza un sitio web falso que anuncia un simulador de piloto de drones para lanzar EchoGather.
- Hombre lobo versátil (también conocido como Alma sin corazón), que ha utilizado un sitio web falso («stardebug[.]app») para distribuir un instalador MSI falso para Star Debug, una herramienta alternativa para administrar dispositivos Starlink, con el fin de implementar el marco de post-explotación Sliver. Otro sitio web vinculado al actor de amenazas («alphafly-drones[.]com») ha utilizado aplicaciones fraudulentas de simulación de drones para probablemente eliminar SoullessRAT, un troyano de Windows que puede ejecutar comandos, cargar archivos, capturar capturas de pantalla y ejecutar archivos binarios.
- hombre lobo águilaun grupo de amenazas previamente indocumentado que ha comprometido canales de Telegram centrados en drones para distribuir AquilaRAT a través de un cuentagotas Rust que se hace pasar por una lista de verificación para la activación de dispositivos Starlink. Un troyano basado en Rust, AquilaRAT, puede realizar operaciones con archivos y ejecutar comandos.
«A pesar de compartir un objetivo común y emplear técnicas similares, los clústeres operaron de forma autónoma, sin mostrar evidencia de coordinación directa», dijo la empresa rusa de ciberseguridad BI.ZONE. dicho.
«Además de la distribución de malware, Paper Werewolf secuestra cuentas de Telegram. El clúster probablemente las utiliza como canales confiables para respaldar futuros ataques. Versatile Werewolf aprovecha la IA generativa para desarrollar herramientas utilizadas en sus ataques, acelerando el proceso de desarrollo».
Fuente