Se ha observado un grupo de actividades de amenazas previamente desconocido que se hace pasar por la empresa eslovaca de ciberseguridad ESET como parte de ataques de suplantación de identidad dirigidos a entidades ucranianas.
La campaña, detectada en mayo de 2025, es rastreada por el equipo de seguridad con el apodo En Edible Ochotense , describiéndolo como alineado con Rusia.
«InedibleOchotense envió correos electrónicos de spear-phising y mensajes de texto Signal, que contenían un enlace a un instalador de ESET troyanizado, a varias entidades ucranianas», dijo ESET dijo en su informe de actividad de APT del segundo trimestre de 2025 al tercer trimestre de 2025, compartido con The Hacker News.
Se evalúa que InedibleOchotense comparte superposiciones tácticas con una campaña documentadas de EclecticIQ que implicó el despliegue de una puerta trasera llamada BACKORDER y de CERT-UA como UAC-0212 , que describe como un subclúster dentro del grupo de hackers Sandworm (también conocido como APT44).
Si bien el mensaje de correo electrónico está escrito en ucraniano, ESET dijo que la primera línea usa una palabra rusa, lo que probablemente indique un error tipográfico o de traducción. El correo electrónico, que supuestamente proviene de ESET, afirma que su equipo de monitoreo detectó un proceso sospechoso asociado con su dirección de correo electrónico y que sus computadoras podrían estar en riesgo.
La actividad es un intento de capitalizar el uso generalizado del software de ESET en el país y la reputación de su marca para engañar a los destinatarios para que instalen instaladores maliciosos alojados en dominios como esetsmart [.] com, esetscanner [.] com y esetremover [.] com.
El instalador está diseñado para ofrecer el ESET AV Remover legítimo, junto con una variante de una puerta trasera de C# denominada Kalambur (también conocida como SUMBUR), que utiliza la red anónima Tor para el comando y el control. También es capaz de eliminar OpenSSH y habilitar el acceso remoto a través del Protocolo de escritorio remoto (RDP) en el puerto 3389.
Vale la pena señalar que el CERT-UA, en un informe publicado el mes pasado, atribuyó una campaña casi idéntica a UAC-0125 , otro subgrupo dentro de Sandworm.
Ataques con limpiaparabrisas en Ucrania
Sandworm, según ESET, ha seguido aumentando destructivo campañas en Ucrania, lanzó dos programas maliciosos de borrado rastreados como ZEROLOT y Sting dirigidos a una universidad anónima en abril de 2025, seguido del despliegue de múltiples variantes de malware para borrar datos dirigidas a los sectores gubernamental, energético, logístico y cerealista.
«Durante este período, observamos y confirmamos que UAC-0099 grupo llevó a cabo las operaciones de acceso iniciales y, posteriormente, transfirió los objetivos validados a Sandworm para su seguimiento», dijo la empresa. «Estos destructivos ataques de Sandworm son un recordatorio de que los limpiaparabrisas siguen siendo una herramienta frecuente de los actores de amenazas alineados con Rusia en Ucrania».
RomCom explota WinRAR de 0 días en ataques
Otro actor de amenazas alineado con Rusia que ha estado activo durante ese período es RomCom (también conocido como Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu), que lanzó campañas de spear-phishing a mediados de julio de 2025 que convirtieron en arma una vulnerabilidad de WinRAR ( CVE-2025-8088 , puntuación CVSS: 8,8) como parte de ataques contra empresas financieras, manufactureras, de defensa y logísticas en Europa y Canadá.
«Los intentos de explotación exitosos generaron varias puertas traseras utilizadas por el grupo RomCom, específicamente una variante de SnipBot [también conocida como SingleCamper o RomCom RAT 5.0], RustyClaw, y un agente Mythic», afirma ESET.
En un perfil detallado de RomCom publicado a finales de septiembre de 2025, AttackIQ caracterizó al grupo de hackers por estar muy atento a los acontecimientos geopolíticos relacionados con la guerra en Ucrania y aprovecharlos para llevar a cabo actividades de recolección de credenciales y exfiltración de datos, probablemente en apoyo de los objetivos rusos.
«RomCom se desarrolló inicialmente como un malware básico para la delincuencia electrónica, diseñado para facilitar el despliegue y la persistencia de cargas maliciosas, lo que permitía su integración en operaciones de ransomware destacadas y centradas en la extorsión», dijo Francis Guibernau, investigador de seguridad dijo . «RomCom pasó de ser un producto básico con fines de lucro a convertirse en una empresa de servicios públicos apalancada en las operaciones de los estados nacionales».