Se ha observado un colección de actividad de amenazas previamente desconocido que se hace acaecer por la empresa eslovaca de ciberseguridad ESET como parte de ataques de phishing dirigidos a entidades ucranianas.
La campaña, detectada en mayo de 2025, es rastreada por el equipo de seguridad bajo el nombre de No comestibleOchotensedescribiéndolo como vinculado con Rusia.
«InedibleOchotense envió correos electrónicos de phishing y mensajes de texto de Signal, que contienen un enlace a un instalador troyanizado de ESET, a varias entidades ucranianas», dijo ESET en su Referencia de actividad de APT del segundo trimestre de 2025 al tercer trimestre de 2025 compartido con The Hacker News.
Se evalúa que InedibleOchotense comparte superposiciones tácticas con una campaña documentada por EclecticIQ que implicó el despliegue de una puerta trasera indicación BACKORDER y por CERT-UA como UAC-0212, que describe como un subgrupo interiormente del colección de piratería Sandworm (todavía conocido como APT44).
Si correctamente el mensaje de correo electrónico está escrito en ucraniano, ESET dijo que la primera columna usa una palabra rusa, lo que probablemente indica un error tipográfico o de traducción. El correo electrónico, que pretende ser de ESET, afirma que su equipo de monitoreo detectó un proceso sospechoso asociado con su dirección de correo electrónico y que sus computadoras podrían estar en aventura.
La actividad es un intento de capitalizar el uso generalizado del software de ESET en el país y la reputación de su marca para engañar a los destinatarios para que instalen instaladores maliciosos alojados en dominios como esetsmart(.)com, esetscanner(.)com y esetremover(.)com.
El instalador está diseñado para ofrecer el ESET AV Remover seguro, unido con una variación de una puerta trasera de C# denominada Kalambur (todavía conocida como SUMBUR), que utiliza la red de anonimato Tor para comando y control. Asimismo es capaz de eliminar OpenSSH y habilitar el ataque remoto a través del Protocolo de escritorio remoto (RDP) en el puerto 3389.
Vale la pena señalar que CERT-UA, en un mensaje publicado el mes pasado, atribuyó una campaña casi idéntica a UAC-0125, otro subgrupo interiormente de Sandworm.
Ataques de gusanos de arena en Ucrania
Sandworm, según ESET, ha seguido montando campañas destructivas en Ucrania, lanzando dos programas maliciosos de higiene rastreados como ZEROLOT y Sting dirigidos a una universidad anónima en abril de 2025, seguidos del despliegue de múltiples variantes de malware de higiene de datos dirigidos a los sectores gubernativo, energético, logístico y de cereales.
«Durante este período, observamos y confirmamos que el colección UAC-0099 realizó operaciones de ataque iniciales y seguidamente transfirió objetivos validados a Sandworm para actividades de seguimiento», dijo la compañía. «Estos ataques destructivos de Sandworm son un recordatorio de que los limpiadores siguen siendo una utensilio frecuente de los actores de amenazas alineados con Rusia en Ucrania».
RomCom aprovecha el día 0 de WinRAR en ataques
Otro actor de amenazas destacado vinculado con Rusia que ha estado activo durante el período es RomCom (todavía conocido como Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu), que lanzó campañas de phishing a mediados de julio de 2025 que utilizaron como arsenal una vulnerabilidad WinRAR (CVE-2025-8088, puntuación CVSS: 8,8) como parte de ataques dirigidos a empresas financieras, de fabricación, de defensa y de transporte en Europa y Canadá.
«Los intentos de explotación exitosos generaron varias puertas traseras utilizadas por el colección RomCom, específicamente una variación de SnipBot (todavía conocido como SingleCamper o RomCom RAT 5.0), RustyClaw, y un agente Mythic», dijo ESET.
En un perfil detallado del RomCom a finales de septiembre de 2025, AttackIQ caracterizó al colección de piratas informáticos por estar atento a los acontecimientos geopolíticos en torno a la conflicto en Ucrania y aprovecharlos para admitir a punta actividades de convento de credenciales y exfiltración de datos probablemente en apoyo de los objetivos rusos.
«RomCom se desarrolló inicialmente como un malware nuclear para delitos electrónicos, diseñado para favorecer el despliegue y la persistencia de cargas efectos maliciosas, permitiendo su integración en operaciones de ransomware destacadas y centradas en la trastorno», dijo el investigador de seguridad Francis Guibernau. «RomCom pasó de ser un producto puramente impulsado por las ganancias a convertirse en una empresa de servicios públicos apalancada en operaciones de estados-nación».
