Las organizaciones de Ucrania han sido atacadas por actores de amenazas de origen ruso con el objetivo de extraer datos confidenciales y mantener un acceso persistente a las redes comprometidas.
La actividad, según un nuevo informe del equipo Threat Hunter de Symantec y Carbon Black, atacó a una gran organización de servicios empresariales durante dos meses y a una entidad gubernamental local del país durante una semana.
Los ataques se basaron principalmente en tácticas de vida fuera de la tierra (LoTL) y herramientas de doble uso, junto con un mínimo de malware, para reducir la huella digital y pasar desapercibidos durante largos períodos de tiempo.
«Los atacantes accedieron a la organización de servicios empresariales desplegando web shells en servidores públicos, muy probablemente explotando una o más vulnerabilidades no corregidas», dijeron los equipos de ciberseguridad propiedad de Broadcom en un informe compartido con The Hacker News.
Una de las conchas web utilizadas en el ataque fue Localolive, que era marcado anteriormente de Microsoft, utilizada por un subgrupo de la tripulación de Sandworm, vinculada a Rusia, como parte de una campaña de varios años con el nombre en código BadPilot. LocalOlive está diseñado para facilitar la entrega de cargas útiles de última generación, como Chisel, plink y rsockstun. Se ha utilizado al menos desde finales de 2021.
Las primeras señales de actividad maliciosa dirigida a la organización de servicios empresariales se remontan al 27 de junio de 2025, cuando los atacantes aprovecharon el punto de apoyo para lanzar una capa web y utilizarla para realizar reconocimientos. También se ha descubierto que los atacantes ejecutan comandos de PowerShell para excluir las descargas de la máquina de los análisis del antivirus de Microsoft Defender, y también programan una tarea para realizar un volcado de memoria cada 30 minutos.
Durante las dos semanas siguientes, los atacantes llevaron a cabo diversas acciones, entre ellas -
- Guarde una copia del subárbol del registro en un archivo denominado 1.log
- Lanzar más webshells
- Uso del shell web para enumerar todos los archivos del directorio de usuarios
- Ejecutar un comando para enumerar todos los procesos en ejecución que comiencen por «kee», probablemente con el objetivo de apuntar a la bóveda de almacenamiento de contraseñas de KeePass
- Listar todas las sesiones de usuario activas en una segunda máquina
- Ejecutar ejecutables denominados "service.exe" y "cloud.exe" ubicados en la carpeta Descargas
- Ejecutar comandos de reconocimiento en una tercera máquina y realizar un volcado de memoria con la herramienta de diagnóstico de fugas de recursos de Microsoft Windows (RDRLeakDiag)
- La modificación del registro permite que las conexiones RDP permitan las conexiones RDP entrantes
- Ejecución de un comando de PowerShell para recuperar información sobre la configuración de Windows en una cuarta máquina
- Ejecutar RDPClip para acceder al portapapeles en conexiones de escritorio remoto
- Instalación de OpenSSH para facilitar el acceso remoto a la computadora
- Ejecución de un comando de PowerShell para permitir el tráfico TCP en el puerto 22 del servidor OpenSSH
- Crear una tarea programada para ejecutar una puerta trasera de PowerShell desconocida (link.ps1) cada 30 minutos mediante una cuenta de dominio
- Ejecución de un script de Python desconocido
- Implementación de una aplicación legítima de administración de enrutadores MikroTik (» winbox64.exe «) en la carpeta Descargas
Curiosamente, el CERT-UA también documentó la presencia de "winbox64.exe" en abril de 2024 en relación con un Campaña Sandworm dirigido a los proveedores de energía, agua y calefacción en Ucrania.
Symantec y Carbon Black dijeron que no habían podido encontrar ninguna prueba en las intrusiones que lo conectara con Sandworm, pero dijeron que «parecía ser de origen ruso». La empresa de ciberseguridad también reveló que los ataques se caracterizaron por el despliegue de varias puertas traseras de PowerShell y ejecutables sospechosos que probablemente sean malware. Sin embargo, ninguno de estos artefactos se ha obtenido para su análisis.
«Si bien los atacantes usaron una cantidad limitada de malware durante la intrusión, gran parte de la actividad maliciosa que tuvo lugar involucró herramientas legítimas, ya fuera de la tierra o software de doble uso introducido por los atacantes», dijeron Symantec y Carbon Black.
«Los atacantes demostraron un conocimiento profundo de las herramientas nativas de Windows y mostraron cómo un atacante experto puede avanzar en un ataque y robar información confidencial, como credenciales, al tiempo que deja una huella mínima en la red objetivo».
La revelación se produce como detalló Gen Threat Labs. Gamaredón la explotación de una falla de seguridad ahora corregida en WinRAR ( CVE-2025-8088 , puntuación CVSS: 8,8) para atacar a las agencias gubernamentales ucranianas.
«Los atacantes están abusando de #CVE -2025-8088 (recorrido de ruta de WinRAR) para entregar archivos RAR que colocan silenciosamente el malware HTA en la carpeta de inicio; no es necesaria la interacción del usuario más allá de abrir el benigno PDF que contiene», dijo la empresa dijo en una entrada en X. «Estos señuelos están diseñados para engañar a las víctimas para que abran archivos armados, continuando con el patrón de ataques agresivos observado en campañas anteriores».
Los hallazgos también siguen a un informe de Recorded Future, que descubrió que el ecosistema cibercriminal ruso está siendo moldeado activamente por campañas internacionales de aplicación de la ley, como Operación Endgame , cambiando los vínculos del gobierno ruso con los grupos de delincuencia electrónica de la tolerancia pasiva a la gestión activa.
Un análisis más detallado de los chats filtrados ha descubierto que figuras importantes de estos grupos de amenazas suelen mantener relaciones con los servicios de inteligencia rusos, proporcionando datos, realizando tareas o aprovechando el soborno y las conexiones políticas con fines de impunidad. Al mismo tiempo, los equipos de ciberdelincuentes están descentralizando sus operaciones para eludir la vigilancia occidental y nacional.
Si bien se sabe desde hace tiempo que los ciberdelincuentes rusos pueden operar libremente siempre que no ataquen a las empresas o entidades que operan en la región, el Kremlin parece estar adoptando ahora un enfoque más matizado en el que recluta o coopta talento cuando es necesario, hace la vista gorda cuando los ataques se alinean con sus intereses y hace cumplir las leyes de forma selectiva cuando los actores de las amenazas se vuelven «políticamente inconvenientes o embarazosos desde el punto de vista externo».
Visto así, el «pacto oscuro» es una combinación de varias cosas: una empresa comercial, una herramienta de influencia y adquisición de información, y también un inconveniente cuando amenaza la estabilidad nacional o debido a la presión occidental.
«La ciberdelincuencia clandestina rusa se está fracturando bajo la doble presión del control estatal y la desconfianza interna, mientras que la vigilancia de foros propietarios y las conversaciones de los afiliados al ransomware muestran una creciente paranoia entre los operadores», afirma la empresa apuntado en su tercera entrega del informe Dark Covenant.