Las organizaciones en Ucrania han sido atacadas por actores de amenazas de origen ruso con el objetivo de desviar datos confidenciales y persistir un camino persistente a las redes comprometidas.
La actividad, según un nuevo noticia de Symantec y Carbon Black Threat Hunter Team, estuvo dirigida a una gran estructura de servicios empresariales durante dos meses y a una entidad estatal tópico en el país durante una semana.
Los ataques aprovecharon principalmente tácticas de vida de la tierra (LotL) y herramientas de doble uso, unido con un imperceptible de malware, para compendiar las huellas digitales y tener lugar desapercibidos durante largos períodos de tiempo.
«Los atacantes obtuvieron camino a la estructura de servicios empresariales mediante el despliegue de shells web en servidores públicos, probablemente explotando una o más vulnerabilidades sin parches», dijeron los equipos de ciberseguridad propiedad de Broadcom en un noticia compartido con The Hacker News.
Uno de los web shells utilizados en el ataque fue Localolive, que Microsoft había señalado anteriormente como utilizado por un subgrupo del equipo Sandworm vinculado a Rusia como parte de una campaña de varios primaveras con el nombre en código BadPilot. LocalOlive está diseñado para solucionar la entrega de cargas efectos de la ulterior etapa como Chisel, plink y rsockstun. Se ha utilizado desde al menos finales de 2021.
Los primeros signos de actividad maliciosa dirigida a la estructura de servicios empresariales se remontan al 27 de junio de 2025, cuando los atacantes aprovecharon el punto de apoyo para soltar un shell web y utilizarlo para realizar reconocimientos. Además se ha descubierto que los actores de amenazas ejecutan comandos de PowerShell para excluir las descargas de la máquina de los disección de Microsoft Defender Antivirus, así como asimismo configuran una tarea programada para realizar un volcado de memoria cada 30 minutos.
Durante las siguientes semanas, los atacantes llevaron a lugar una variedad de acciones, entre ellas:
- Guarde una copia del subárbol del registro en un archivo llamado 1.log
- Lanzando más shells web
- Usar el shell web para enumerar todos los archivos en el directorio de afortunado
- Ejecutar un comando para enumerar todos los procesos en ejecución que comienzan con «kee», probablemente con el objetivo de apuntar a la cúpula de almacenamiento de contraseñas de KeePass.
- Lista de todas las sesiones de afortunado activas en una segunda máquina
- Ejecutando ejecutables llamados «service.exe» y «cloud.exe» ubicados en la carpeta Descargas
- Ejecutar comandos de registro en una tercera máquina y realizar un volcado de memoria utilizando la útil de dictamen de fugas de fortuna de Microsoft Windows (RDRLeakDiag)
- La modificación del registro permite conexiones RDP para permitir conexiones RDP entrantes
- Ejecutar un comando de PowerShell para recuperar información sobre la configuración de Windows en una cuarta máquina
- Ejecutando RDPclip para obtener camino al portapapeles en conexiones de escritorio remoto
- Instalación de OpenSSH para solucionar el camino remoto al ordenador
- Ejecutar un comando de PowerShell para permitir el tráfico TCP en el puerto 22 para el servidor OpenSSH
- Crear una tarea programada para ejecutar una puerta trasera de PowerShell desconocida (link.ps1) cada 30 minutos usando una cuenta de dominio
- Ejecutando un script Python desconocido
- Implementar una aplicación legítima de sucursal de enrutadores MikroTik («winbox64.exe») en la carpeta Descargas
Curiosamente, CERT-UA asimismo documentó la presencia de «winbox64.exe» en abril de 2024 en relación con una campaña Sandworm dirigida a proveedores de energía, agua y calefacción en Ucrania.
Symantec y Carbon Black dijeron que no pudieron encontrar ninguna evidencia en las intrusiones que lo conectaran con Sandworm, pero dijeron que «parecía ser de origen ruso». La empresa de ciberseguridad asimismo reveló que los ataques se caracterizaron por el despliegue de varias puertas traseras de PowerShell y ejecutables sospechosos que probablemente sean malware. Sin incautación, nadie de estos artefactos se ha obtenido para su disección.
«Si correctamente los atacantes utilizaron una cantidad limitada de malware durante la intrusión, gran parte de la actividad maliciosa que tuvo empleo involucró herramientas legítimas, ya sea Living-off-the-Land o software de doble uso introducido por los atacantes», dijeron Symantec y Carbon Black.
«Los atacantes demostraron un conocimiento profundo de las herramientas nativas de Windows y mostraron cómo un atacante hábil puede avanzar en un ataque y robar información confidencial, como credenciales, dejando una huella mínima en la red objetivo».
La divulgación se produce cuando Gen Threat Labs detalló la explotación por parte de Gamaredon de una descompostura de seguridad ahora parcheada en WinRAR (CVE-2025-8088, puntuación CVSS: 8,8) para atacar a las agencias gubernamentales ucranianas.
«Los atacantes están abusando de #CVE-2025-8088 (reconvención de ruta WinRAR) para entregar archivos RAR que silenciosamente colocan malware HTA en la carpeta de Inicio; no se necesita interacción del afortunado más allá de desplegar el PDF afable que contiene», dijo la compañía en una publicación en X. «Estos señuelos están diseñados para engañar a las víctimas para que abran archivos armados, continuando con un patrón de ataques agresivos manido en campañas anteriores».
Los hallazgos asimismo siguen a un noticia de Recorded Future, que encontró que el ecosistema cibercriminal ruso está siendo moldeado activamente por campañas internacionales de aplicación de la ley como la Operación Endgame, cambiando los vínculos del gobierno ruso con los grupos de delitos electrónicos de una tolerancia pasiva a una papeleo activa.
Un disección más detallado de los chats filtrados ha revelado que figuras de detención rango en el interior de estos grupos de amenazas a menudo mantienen relaciones con los servicios de inteligencia rusos, proporcionando datos, realizando tareas o aprovechando sobornos y conexiones políticas para conseguir impunidad. Al mismo tiempo, los equipos de ciberdelincuentes están descentralizando sus operaciones para eludir la vigilancia occidental y doméstico.
Si correctamente se sabe desde hace mucho tiempo que los ciberdelincuentes rusos pueden proceder independientemente siempre y cuando no apunten a empresas o entidades que operan en la región, el Kremlin parece estar adoptando ahora un enfoque más matizado en el que reclutan o cooptan talentos cuando es necesario, hacen la instinto gorda cuando los ataques se alinean con sus intereses y aplican leyes de forma selectiva cuando los actores de la amenaza se vuelven «políticamente inconvenientes o externamente embarazosos».
Gastado en el sentido de que el «pacto umbrátil» es una combinación de varias cosas: una empresa comercial, una útil de influencia y adquisición de información, y asimismo una responsabilidad cuando amenaza la estabilidad interna o conveniente a la presión occidental.
«La clandestinidad cibercriminal rusa se está fracturando bajo la doble presión del control estatal y la desconfianza interna, mientras que el monitoreo de foros propietarios y la charla de afiliados de ransomware muestran una paranoia creciente entre los operadores», señaló la compañía en su tercera entrega del noticia Dark Covenant.
