Amazon dijo el viernes que había denunciado e interrumpido lo que describió como una campaña oportunista de abrevaderos orquestada por los actores del APT29, vinculados a Rusia, como parte de sus esfuerzos de recopilación de información.
La campaña utilizó «sitios web comprometidos para redirigir a los visitantes a una infraestructura maliciosa diseñada para engañar a los usuarios para que autoricen los dispositivos controlados por los atacantes a través del flujo de autenticación de códigos de dispositivos de Microsoft», dijo el director de seguridad de la información de Amazon, CJ Moses dijo .
APT29, también conocido como BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, Earth Koshchei, ICECAP, Midnight Blizzard y The Dukes, es el nombre asignado a un grupo de hackers patrocinado por el estado y vinculado al Servicio de Inteligencia Exterior (SVR) de Rusia.
En los últimos meses, el prolífico actor de amenazas ha sido vinculado a los ataques que utilizan archivos de configuración maliciosos del Protocolo de escritorio remoto (RDP) para atacar a entidades ucranianas y extraer datos confidenciales.
Desde principios de año, se ha observado que el colectivo de adversarios adopta varios métodos de suplantación de identidad, entre ellos suplantación de identidad (phishing) y suplantación de identidad (suplantación , para obtener acceso no autorizado a las cuentas de Microsoft 365.
Tan recientemente como en junio de 2025, Google dijo observó que un grupo de amenazas vinculado a APT29 utilizaba como arma una función de la cuenta de Google denominada contraseñas específicas de la aplicación para acceder a los correos electrónicos de las víctimas. La campaña, tan específica, se atribuyó a la UNC6293.
La última actividad identificada por el equipo de inteligencia de amenazas de Amazon subraya los esfuerzos continuos del actor de amenazas para recopilar credenciales y recopilar información de interés y, al mismo tiempo, mejorar su destreza.
«Este enfoque oportunista ilustra la continua evolución de APT29 a la hora de ampliar sus operaciones para ampliar sus esfuerzos de recopilación de información», dijo Moses.
En los ataques, APT29 puso en peligro varios sitios web legítimos e inyectó JavaScript que redirigió aproximadamente al 10% de los visitantes a dominios controlados por actores, como findcloudflare [.] com, que imitaban las páginas de verificación de Cloudflare para dar una ilusión de legitimidad.
En realidad, el objetivo final de la campaña era incitar a las víctimas a introducir un código de dispositivo legítimo generado por el autor de la amenaza en una página de inicio de sesión, lo que les permitía acceder de manera efectiva a sus cuentas y datos de Microsoft. Esta técnica fue detallada tanto por Microsoft como por Volexity en febrero de 2025.
La actividad también destaca por incorporar varias técnicas de evasión, como la codificación Base64 para ocultar códigos maliciosos, la configuración de cookies para evitar redireccionamientos repetidos del mismo visitante y el cambio a una nueva infraestructura cuando se bloquea.
Amazon dijo a The Hacker News que no tiene información adicional sobre cuántos sitios web se vieron comprometidos como parte de este esfuerzo y cómo se piratearon estos sitios en primer lugar. El gigante tecnológico también señaló que pudo vincular los dominios utilizados en esta campaña con la infraestructura que anteriormente se atribuía a APT29.
«A pesar de los intentos del actor por migrar a una nueva infraestructura, incluido el traslado de AWS a otro proveedor de nube, nuestro equipo siguió rastreando e interrumpiendo sus operaciones», dijo Moses. «Tras nuestra intervención, observamos que el actor registraba dominios adicionales, como cloudflare.redirectpartners [.] com, lo que una vez más intentaba atraer a las víctimas a los flujos de trabajo de autenticación de códigos de dispositivos de Microsoft».