Las organizaciones en Ucrania han sido atacadas por actores de amenazas de origen ruso con el objetivo de desviar datos confidenciales y mantener un acceso persistente a las redes comprometidas.
La actividad, según un nuevo informe del equipo Symantec y Carbon Black Threat Hunter, se dirigió a una gran organización de servicios empresariales durante dos meses y a una entidad gubernamental local en el país durante una semana.
Los ataques aprovecharon principalmente tácticas de vida de la tierra (LotL) y herramientas de doble uso, junto con un mínimo de malware, para reducir las huellas digitales y pasar desapercibidos durante largos períodos de tiempo.
«Los atacantes obtuvieron acceso a la organización de servicios empresariales mediante el despliegue de shells web en servidores públicos, probablemente explotando una o más vulnerabilidades sin parches», dijeron los equipos de ciberseguridad propiedad de Broadcom en un informe compartido con The Hacker News.
Uno de los web shells utilizados en el ataque fue Localolive, que fue previamente marcado por Microsoft como lo utilizó un subgrupo del equipo Sandworm vinculado a Rusia como parte de una campaña de varios años con el nombre en código BadPilot. LocalOlive está diseñado para facilitar la entrega de cargas útiles de la siguiente etapa como Chisel, plink y rsockstun. Se ha utilizado desde al menos finales de 2021.
Los primeros signos de actividad maliciosa dirigida a la organización de servicios empresariales se remontan al 27 de junio de 2025, cuando los atacantes aprovecharon el punto de apoyo para soltar un shell web y utilizarlo para realizar reconocimientos. También se ha descubierto que los actores de amenazas ejecutan comandos de PowerShell para excluir las descargas de la máquina de los análisis de Microsoft Defender Antivirus, así como también configuran una tarea programada para realizar un volcado de memoria cada 30 minutos.
Durante las siguientes semanas, los atacantes llevaron a cabo una variedad de acciones, entre ellas:
- Guardar una copia del subárbol del registro en un archivo llamado «1.log»
- Lanzando más shells web
- Usar el shell web para enumerar todos los archivos en el directorio de usuario
- Ejecutar un comando para enumerar todos los procesos en ejecución que comienzan con «kee», probablemente con el objetivo de apuntar a la bóveda de almacenamiento de contraseñas de KeePass.
- Listado de todas las sesiones de usuario activas en una segunda máquina
- Ejecutando ejecutables llamados «service.exe» y «cloud.exe» ubicados en la carpeta Descargas
- Ejecutar comandos de reconocimiento en una tercera máquina y realizar un volcado de memoria utilizando la herramienta de diagnóstico de fugas de recursos de Microsoft Windows (RDRLeakDiag)
- La modificación del registro permite conexiones RDP para permitir conexiones RDP entrantes
- Ejecutar un comando de PowerShell para recuperar información sobre la configuración de Windows en una cuarta máquina
- Ejecutando RDPclip para obtener acceso al portapapeles en conexiones de escritorio remoto
- Instalación de OpenSSH para facilitar el acceso remoto al ordenador
- Ejecutar un comando de PowerShell para permitir el tráfico TCP en el puerto 22 para el servidor OpenSSH
- Crear una tarea programada para ejecutar una puerta trasera de PowerShell desconocida (link.ps1) cada 30 minutos usando una cuenta de dominio
- Ejecutando un script Python desconocido
- Implementar una aplicación legítima de administración de enrutadores MikroTik («winbox64.exe«) en la carpeta Descargas
Curiosamente, CERT-UA también documentó la presencia de «winbox64.exe» en abril de 2024 en relación con un Campaña de gusanos de arena dirigido a proveedores de energía, agua y calefacción en Ucrania.
Symantec y Carbon Black dijeron que no pudieron encontrar ninguna evidencia en las intrusiones que los conectara con Sandworm, pero dijeron que «parecían ser de origen ruso». La empresa de ciberseguridad también reveló que los ataques se caracterizaron por el despliegue de varias puertas traseras de PowerShell y ejecutables sospechosos que probablemente sean malware. Sin embargo, ninguno de estos artefactos se ha obtenido para su análisis.
«Si bien los atacantes utilizaron una cantidad limitada de malware durante la intrusión, gran parte de la actividad maliciosa que tuvo lugar involucró herramientas legítimas, ya sea Living-off-the-Land o software de doble uso introducido por los atacantes», dijeron Symantec y Carbon Black.
«Los atacantes demostraron un conocimiento profundo de las herramientas nativas de Windows y mostraron cómo un atacante hábil puede avanzar en un ataque y robar información confidencial, como credenciales, dejando una huella mínima en la red objetivo».
La divulgación se produce como lo detalla Gen Threat Labs. GamaredónLa explotación de una falla de seguridad ahora parcheada en WinRAR (CVE-2025-8088puntuación CVSS: 8,8) para atacar agencias gubernamentales ucranianas.
«Los atacantes están abusando de CVE-2025-8088 (recorrido de ruta WinRAR) para entregar archivos RAR que silenciosamente colocan malware HTA en la carpeta de Inicio; no se necesita interacción del usuario más allá de abrir el PDF benigno que contiene», dijo la compañía. dicho en una publicación en X. «Estos señuelos están diseñados para engañar a las víctimas para que abran archivos armados, continuando con un patrón de ataques agresivos visto en campañas anteriores».
Los hallazgos también surgen tras un informe de Recorded Future, que encontró que el ecosistema cibercriminal ruso está siendo moldeado activamente por campañas internacionales de aplicación de la ley como Operación finalcambiando los vínculos del gobierno ruso con los grupos de delitos electrónicos de una tolerancia pasiva a una gestión activa.
Un análisis más detallado de los chats filtrados ha revelado que figuras de alto rango dentro de estos grupos de amenazas a menudo mantienen relaciones con los servicios de inteligencia rusos, proporcionando datos, realizando tareas o aprovechando sobornos y conexiones políticas para lograr impunidad. Al mismo tiempo, los equipos de ciberdelincuentes están descentralizando sus operaciones para eludir la vigilancia occidental y nacional.
Si bien se sabe desde hace mucho tiempo que los ciberdelincuentes rusos pueden operar libremente siempre y cuando no apunten a empresas o entidades que operan en la región, el Kremlin parece estar adoptando ahora un enfoque más matizado en el que reclutan o cooptan talentos cuando es necesario, hacen la vista gorda cuando los ataques se alinean con sus intereses y aplican leyes de manera selectiva cuando los actores de la amenaza se vuelven «políticamente inconvenientes o externamente embarazosos».
Visto en el sentido de que el «pacto oscuro» es una combinación de varias cosas: una empresa comercial, una herramienta de influencia y adquisición de información, y también una responsabilidad cuando amenaza la estabilidad interna o debido a la presión occidental.
«La clandestinidad cibercriminal rusa se está fracturando bajo la doble presión del control estatal y la desconfianza interna, mientras que el monitoreo de foros propietarios y las conversaciones de afiliados sobre ransomware muestran una paranoia cada vez mayor entre los operadores», dijo la compañía. anotado en su tercera entrega del informe Dark Covenant.
Fuente