Los investigadores de ciberseguridad han revelado detalles de una campaña coordinada de spear-phising denominada Captcha fantasma dirigidos a organizaciones asociadas a los esfuerzos de ayuda bélica de Ucrania para ofrecer un troyano de acceso remoto que utiliza un WebSocket para el comando y el control (C2).
La actividad, que tuvo lugar el 8 de octubre de 2025, estuvo dirigida a miembros individuales de la Cruz Roja Internacional, el Consejo Noruego para los Refugiados, la oficina del Fondo de las Naciones Unidas para la Infancia (UNICEF) en Ucrania, el Consejo Noruego para los Refugiados, el Registro de Daños para Ucrania del Consejo de Europa y las administraciones gubernamentales regionales de Ucrania en las regiones de Donetsk, Dnipropetrovsk, Poltava y Mikolaevsk, SentinelOne dijo en un nuevo informe publicado hoy.
Se ha descubierto que los correos electrónicos de suplantación de identidad se hacen pasar por la Oficina del Presidente de Ucrania y contienen un documento PDF con trampas explosivas que contiene un enlace incrustado que, al hacer clic en él, redirige a las víctimas a un sitio falso de Zoom («aplicación zoomconference [.]») y las engaña para que ejecuten un comando malicioso de PowerShell a través de un Haga clic en Fijar - estilo página falsa de CAPTCHA de Cloudflare con el pretexto de comprobar el navegador.
La página falsa de Cloudflare actúa como intermediaria al configurar una conexión WebSocket con un servidor controlado por un atacante y transmitir un ID de cliente generado por JavaScript, y el navegador lleva a la víctima a una reunión de Zoom legítima y protegida por contraseña si el servidor WebSocket responde con un identificador coincidente.
Se sospecha que esta ruta de infección probablemente esté reservada para las llamadas de ingeniería social en vivo con las víctimas, aunque SentinelOne dijo que no observó a los actores de amenazas activar esta línea de ataque durante su investigación.
El comando PowerShell que se ejecuta después de pegarlo en el cuadro de diálogo Ejecutar de Windows conduce a un descargador confuso que es el principal responsable de recuperar y ejecutar una carga útil de segunda etapa desde un servidor remoto. Este malware de segunda fase detecta el host infectado y lo envía al mismo servidor, que responde con el troyano de acceso remoto PowerShell.
«La carga útil final es un WebSocket RAT alojado en una infraestructura de propiedad rusa que permite la ejecución arbitraria de comandos remotos, la exfiltración de datos y el posible despliegue de malware adicional», afirma el investigador de seguridad Tom Hegel. «La RAT basada en WebSocket es una puerta trasera para la ejecución remota de comandos, es decir, un shell remoto que permite al operador acceder arbitrariamente al servidor».
El malware se conecta a un servidor WebSocket remoto en «wss: //bsnowcommunications [.] com:80» y está configurado para recibir mensajes JSON codificados en Base64 que incluyen un comando para ejecutarlo con Invoke-Expression o ejecutar una carga útil de PowerShell. Los resultados de la ejecución se empaquetan posteriormente en una cadena JSON y se envían al servidor a través del WebSocket.
Un análisis más detallado de las presentaciones de VirusTotal ha determinado que el PDF de 8 páginas convertido en arma se ha subido desde varios lugares, incluidos Ucrania, India, Italia y Eslovaquia, lo que probablemente indique un objetivo generalizado.
SentinelOne señaló que los preparativos para la campaña comenzaron el 27 de marzo de 2025, cuando los atacantes registraron el dominio «goodhillsenterprise [.] com», que se utilizó para enviar los ofuscados scripts de malware de PowerShell. Curiosamente, se dice que la infraestructura asociada a la «aplicación zoomconference [.]» solo estuvo activa un día, el 8 de octubre.
Esto sugiere «una planificación sofisticada y un firme compromiso con la seguridad operativa», señaló la empresa, y añadió que también descubrió aplicaciones falsas alojadas en el dominio «princess-mens [.] click» que tienen como objetivo recopilar la geolocalización, los contactos, los registros de llamadas, los archivos multimedia, la información del dispositivo, la lista de aplicaciones instaladas y otros datos de los dispositivos Android comprometidos.
La campaña no se ha atribuido a ningún actor o grupo de amenazas conocido, aunque el uso de ClickFix coincide con el de los ataques divulgados recientemente organizados por una empresa vinculada a Rusia RÍO FRÍO grupo de hackers.
«La campaña PhantomCaptcha refleja a un adversario altamente capaz, ya que demuestra una amplia planificación operativa, una infraestructura compartimentada y un control deliberado de la exposición», dijo SentinelOne.
«El período de seis meses transcurrido entre el registro inicial de la infraestructura y la ejecución del ataque, seguido de la rápida eliminación de los dominios orientados al usuario sin dejar de mantener el mando y el control del backend, pone de relieve que un operador está bien versado tanto en el arte ofensivo como en la evasión de la detección defensiva».