La prohijamiento de inteligencia fabricado (IA) por parte de los piratas informáticos rusos en ataques cibernéticos contra Ucrania alcanzó un nuevo nivel en el primer semestre de 2025 (primer semestre de 2025), dijo el Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSCIP) del país.
«Los piratas informáticos ahora lo emplean no sólo para suscitar mensajes de phishing, sino que algunas de las muestras de malware que hemos analizado muestran signos claros de sobrevenir sido generados con IA, y los atacantes ciertamente no se detendrán allí», dijo la agencia en un crónica publicado el miércoles.
SSSCIP dijo que se registraron 3.018 incidentes cibernéticos durante el período, frente a 2.575 en la segunda parte de 2024 (segundo semestre de 2024). Las autoridades locales y las entidades militares presenciaron un aumento de los ataques en comparación con el segundo semestre de 2024, mientras que los dirigidos a los sectores ministerial y energético disminuyeron.
Un ataque trascendental observado involucró el uso de malware llamado WRECKSTEEL por parte de UAC-0219 en ataques dirigidos a organismos de la establecimiento estatal e instalaciones de infraestructura crítica en el país. Hay evidencia que sugiere que el malware de robo de datos PowerShell se desarrolló utilizando herramientas de inteligencia fabricado.
Algunas de las otras campañas registradas contra Ucrania se enumeran a continuación:
- Campañas de phishing orquestadas por UAC-0218 dirigidas a las fuerzas de defensa para entregar HOMESTEEL utilizando archivos RAR con trampas explosivas.
- Campañas de phishing orquestadas por UAC-0226 dirigidas a organizaciones involucradas en el incremento de innovaciones en el sector industrial de defensa, organismos gubernamentales locales, unidades militares y agencias de aplicación de la ley para distribuir un cleptómano llamado GIFTEDCROOK
- Campañas de phishing orquestadas por UAC-0227 dirigidas a autoridades locales, instalaciones de infraestructura crítica y centros territoriales de quinta y apoyo social (TRC y SSC) que aprovechan tácticas de estilo ClickFix o archivos adjuntos SVG para distribuir ladrones como Amatera Stealer y Strela Stealer.
- Campañas de phishing orquestadas por UAC-0125, un subgrupo vinculado a Sandworm, que enviaba mensajes de correo electrónico que contenían enlaces a un sitio web haciéndose acontecer por ESET para entregar una puerta trasera basada en C# emplazamiento Kalambur (igualmente conocida como SUMBUR) bajo la apariencia de un software de asesinato de amenazas.
SSSCIP dijo que igualmente observó a los actores APT28 (igualmente conocido como UAC-0001) vinculados a Rusia armando fallas de secuencias de comandos entre sitios en Roundcube y (CVE-2023-43770, CVE-2024-37383 y CVE-2025-49113) y Zimbra (CVE-2024-27443 y CVE-2025-27915) Software de correo web para realizar ataques sin clic.
«Al explotar tales vulnerabilidades, los atacantes generalmente inyectaban código astuto que, a través de la API de Roundcube o Zimbra, obtenía ataque a credenciales, listas de contactos y filtros configurados para reenviar todos los correos electrónicos a buzones controlados por los atacantes», dijo SSSCIP.
«Otro método para robar credenciales utilizando estas vulnerabilidades fue crear bloques HTML ocultos (visibilidad: oculto) con campos de ingreso de inicio de sesión y contraseña, donde se estableció el atributo autocompletar=»on». Esto permitió que los campos se llenaran automáticamente con datos almacenados en el navegador, que luego se exfiltraban».
La agencia igualmente reveló que Rusia continúa participando en una extirpación híbrida, sincronizando sus operaciones cibernéticas próximo con ataques cinéticos en el campo de batalla, con el peña Sandworm (UAC-0002) apuntando a organizaciones en los sectores de energía, defensa, proveedores de servicios de Internet e investigación.
Adicionalmente, varios grupos de amenazas dirigidos a Ucrania han recurrido al exceso de servicios legítimos, como Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io, para penetrar malware o páginas de phishing, o convertirlas en un canal de exfiltración de datos.
«El uso de bienes legítimos en término con fines maliciosos no es una táctica nueva», dijo SSSCIP. «Sin bloqueo, el número de plataformas de este tipo explotadas por piratas informáticos rusos ha aumentado constantemente en los últimos tiempos».
