Investigadores de ciberseguridad han revelado detalles de una campaña coordinada de phishing denominada fantasmacaptcha dirigido a organizaciones asociadas con los esfuerzos de ayuda de supresión de Ucrania para entregar un troyano de paso remoto que utiliza un WebSocket para comando y control (C2).
La actividad, que tuvo ocasión el 8 de octubre de 2025, estuvo dirigida a miembros individuales de la Cruz Roja Internacional, el Consejo Noruego para los Refugiados, la oficina de Ucrania del Fondo de las Naciones Unidas para la Infancia (UNICEF), el Consejo Noruego para los Refugiados, el Registro de Daños para Ucrania del Consejo de Europa y las administraciones gubernamentales regionales de Ucrania en las regiones de Donetsk, Dnipropetrovsk, Poltava y Mikolaevsk, dijo SentinelOne en un nuevo referencia publicado hoy.
Se ha descubierto que los correos electrónicos de phishing se hacen suceder por la Oficina del Presidente de Ucrania y contienen un documento PDF con trampa explosiva que contiene un enlace incrustado que, cuando se hace clic, redirige a las víctimas a un sitio Teleobjetivo hipócrita («aplicación zoomconference(.)») y los engaña para que ejecuten un comando PowerShell pillo a través de una página CAPTCHA de Cloudflare falsa estilo ClickFix bajo la apariencia de una demostración del navegador.
La página falsa de Cloudflare actúa como intermediario al configurar una conexión WebSocket con un servidor controlado por un atacante y transmite un ID de cliente generado por JavaScript, y el navegador lleva a la víctima a una reunión de Teleobjetivo legítima y protegida con contraseña si el servidor WebSocket argumenta con un identificador coincidente.
Se sospecha que esta ruta de infección probablemente esté reservada para llamadas de ingeniería social en vivo con las víctimas, aunque SentinelOne dijo que no observó a los actores de amenazas activando esta linde de ataque durante su investigación.
El comando de PowerShell ejecutado posteriormente de pegarlo en el cuadro de diálogo Ejecutar de Windows conduce a un descargador ofuscado que es el principal responsable de recuperar y ejecutar una carga útil de segunda etapa desde un servidor remoto. Este malware de segunda etapa realiza un examen del host comprometido y lo envía al mismo servidor, que luego argumenta con el troyano de paso remoto PowerShell.
«La carga útil final es un WebSocket RAT alojado en una infraestructura de propiedad rusa que permite la ejecución remota arbitraria de comandos, la filtración de datos y el posible despliegue de malware adicional», dijo el investigador de seguridad Tom Hegel. «El RAT basado en WebSocket es una puerta trasera de ejecución remota de comandos, efectivamente un shell remoto que le da al cámara paso improcedente al host».
El malware se conecta a un servidor WebSocket remoto en «wss://bsnowcommunications(.)com:80» y está configurado para tomar mensajes JSON codificados en Base64 que incluyen un comando que se ejecutará con Invoke-Expression o ejecutar una carga útil de PowerShell. Seguidamente, los resultados de la ejecución se empaquetan en una prisión JSON y se envían al servidor a través de WebSocket.
Un prospección más detallado de los envíos de VirusTotal ha determinado que el PDF armado de 8 páginas se ha subido desde múltiples ubicaciones, incluidas Ucrania, India, Italia y Eslovaquia, lo que probablemente indica un objetivo amplio.
SentinelOne señaló que los preparativos para la campaña comenzaron el 27 de marzo de 2025, cuando los atacantes registraron el dominio «goodhillsenterprise(.)com», que se ha utilizado para servir los scripts de malware PowerShell ofuscados. Curiosamente, se dice que la infraestructura asociada con la «aplicación zoomconference(.)» estuvo activa solo durante un día el 8 de octubre.
Esto sugiere «una planificación sofisticada y un esforzado compromiso con la seguridad operativa», señaló la compañía, añadiendo que asimismo descubrió aplicaciones falsas alojadas en el dominio «princess-mens(.)click» que tienen como objetivo compilar geolocalización, contactos, registros de llamadas, archivos multimedia, información del dispositivo, índice de aplicaciones instaladas y otros datos de dispositivos Android comprometidos.
La campaña no ha sido atribuida a ningún actor o conjunto de amenazas conocido, aunque el uso de ClickFix se superpone con el de los ataques recientemente revelados organizados por el conjunto de hackers COLDRIVER vinculado a Rusia.
«La campaña PhantomCaptcha refleja un adversario mucho capaz, que demuestra una amplia planificación operativa, infraestructura compartimentada y control de exposición deliberado», dijo SentinelOne.
«El período de seis meses entre el registro auténtico de la infraestructura y la ejecución del ataque, seguido por la rápida exterminio de los dominios de cara al legatario mientras se mantiene el comando y control del backend, destaca a un cámara correctamente versado tanto en el oficio ofensivo como en la esparcimiento de detección defensiva».
