Un actor de amenaza que posiblemente de origen ruso se ha atribuido a un nuevo conjunto de ataques dirigidos al sector energético en Kazajstán.
La actividad, la Operación Codenamen Barrelfire, está vinculada a un nuevo familia de amenazas rastreado por Seqrite Labs como ruidoso oso. El actor de amenaza ha estado activo desde al menos abril de 2025.
«La campaña está dirigida a los empleados de Kazmunaigas o KMG, donde la entidad de amenaza entregó un documento hipócrita relacionado con el unidad de TI de KMG, imitando la comunicación interna oficial y aprovechando temas como actualizaciones de políticas, procedimientos de certificación interna y ajustes salariales», dijo el investigador de seguridad Subhajeet Singha.
La prisión de infecciones comienza con un correo electrónico de phishing que contiene un archivo adjunto de cremallera, que incluye un descargador de Puesta al día de Windows (LNK), un documento de señuelo relacionado con Kazmunaigas y un archivo ReadMe.txt con instrucciones escritas tanto en ruso como en Kazajus para ejecutar un software llamado «Kazmunaygaz_viewer».
El correo electrónico, según la compañía de seguridad cibernética, se envió desde una dirección de correo electrónico comprometida de un individuo que trabaja en el Sección de Finanzas de Kazmunaigas y se dirigió a otros empleados de la empresa en mayo de 2025.
La carga útil del archivo LNK está diseñada para soltar cargas efectos adicionales, incluida una secuencia de comandos de lotes maliciosos que allana el camino para un cargador de PowerShell denominado Downshell. Los ataques culminan con el despliegue de un implante basado en DLL, un binario de 64 bits que puede ejecutar ShellCode para editar una capa inversa.
Un descomposición posterior de la infraestructura del actor de amenaza ha revelado que está organizado en el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia Aeza Group, que fue sancionado por los Estados Unidos en julio de 2025 para permitir actividades maliciosas.
El ampliación se produce cuando Harfanglab vinculó a un actor de amenaza encuadrado en Bielorrusia conocido como escritor espanto (además conocido como Frostyneighbor o UNC1151) con campañas dirigidas a Ucrania y Polonia desde abril de 2025 con archivos de Zip y Rar Rogue que tienen como objetivo compendiar información sobre sistemas comprometidos e implementar implantes para una anciano explotación.
«Estos archivos contienen hojas de cálculo XLS con una macro VBA que cae y carga una DLL», dijo la compañía francesa de ciberseguridad. «Este final es responsable de compendiar información sobre el sistema comprometido y recuperar malware de la próxima etapa de un servidor de comando y control (C2)».
Se ha incompatible que las iteraciones posteriores de la campaña escriben un archivo de ministerio de Microsoft (CAB) pegado con el hatajo LNK para extraer y ejecutar la DLL desde el archivo. La DLL luego procede a realizar el agradecimiento original antiguamente de dejar caer el malware de la posterior etapa del servidor foráneo.
Los ataques dirigidos a Polonia, por otro flanco, modifican la prisión de ataque para usar Slack como un mecanismo de baliza y canal de exfiltración de datos, descargando a cambio una carga útil de la segunda etapa que establece el contacto con el Pesthacks de dominio (.) UCI.
Al menos en un caso, la DLL cayó a través de la hoja de cálculo de Excel en macro se usa para cargar un baliza de ataque de cobalto para proporcionar una anciano actividad posterior a la explotación.
«Estos cambios menores sugieren que UAC-0057 puede estar explorando alternativas, en un probable intento de trabajar en torno a la detección, pero prioriza la continuidad o ampliación de sus operaciones sobre sigilitud y sofisticación», dijo Harfanglab.
Ataques cibernéticos reportados contra Rusia
Los hallazgos se producen en medio de los renovados ataques de molestia de Oldgremlin contra las empresas rusas en la primera medio de 2025, apuntando a hasta ocho grandes empresas industriales nacionales utilizando campañas de correo electrónico de phishing.
Las intrusiones, según Kaspersky, implicaron el uso de la técnica de traer su propio compensador pasivo (BYOVD) para deshabilitar las soluciones de seguridad en las computadoras de las víctimas y el intérprete razonable de nodo.js para ejecutar scripts maliciosos.
Los ataques de phishing dirigidos a Rusia además han entregado un nuevo robador de información llamado Phantom Stealer, que se zócalo en un Stealer de origen campechano con nombre en código STALERIUM, para compendiar una amplia viso de información confidencial utilizando cebos de correo electrónico relacionados con el contenido y los pagos de los adultos. Además comparte superposiciones con otra rama de Stealerium conocida como Warp Stealer.
Según F6, Phantom Stealer además hereda el módulo «porno de pornetector» de Stealerium que captura las capturas de pantalla de la cámara web cuando los usuarios visitan sitios web pornográficos manteniendo pestañas en la ventana del navegador activo y si el título incluye una inventario configurable de términos como pornografía y sexo, entre otros.
«Es probable que esto se use más tarde para ‘Sextortion'», dijo Proofpoint en su propio descomposición del malware. «Si correctamente esta característica no es novedosa entre el malware del delito cibernético, no se observa a menudo».
En los últimos meses, las organizaciones rusas además han estado en el extremo receptor de los ataques perpetrados por grupos de piratería rastreados como Atlas en la montón, Phantomcore y Scaly Wolf para cosechar información confidencial y entregar cargas efectos adicionales utilizando familias de malware como VBShower, Phantomrat y Phantomrshell.
Otro clúster de actividad involucra un nuevo malware Android que se disfraza de una aparejo antivirus creada por la Agencia Federal de Servicios de Seguridad de Rusia (FSB) para destacar a los representantes de las empresas rusas. Las aplicaciones llevan nombres como Security_FSB, фс (ruso para FSB), y Guardcb, el final de los cuales es un intento de producirse como el Lado Central de la Convenio de Rusia.
Descubierto por primera vez en enero de 2025, el malware exfiltra los datos de las aplicaciones de Messenger y el navegador, transmite desde la cámara del teléfono y registre las teclas de registro buscando permisos extensos para consentir a mensajes SMS, ubicación, audio, cámara. Además solicita la ejecución en segundo plano, los derechos del administrador del dispositivo y los servicios de accesibilidad.
«La interfaz de la aplicación proporciona solo un idioma: ruso», dijo Doctor Web. «Por lo tanto, el malware se centra por completo en los usuarios rusos. La puerta trasera además utiliza servicios de accesibilidad para defenderse de ser eliminado si recibe el comando correspondiente de los actores de amenaza».
