Un actor de amenazas, posiblemente de origen ruso, ha sido atribuido a una nueva serie de ataques contra el sector energético en Kazajstán.
La actividad, cuyo nombre en código es Operation BarrelFire, está vinculada a un nuevo grupo de amenazas rastreado por Seqrite Labs como Noisy Bear. El actor de la amenaza ha estado activo al menos desde abril de 2025.
«La campaña está dirigida a los empleados de KazMunaiGas o KMG, donde la entidad amenazante entregó un documento falso relacionado con el departamento de TI de KMG, imitando la comunicación interna oficial y aprovechando temas como las actualizaciones de políticas, los procedimientos de certificación interna y los ajustes salariales», dijo el investigador de seguridad Subhajeet Singha dijo .
La cadena de infección comienza con un correo electrónico de suplantación de identidad que contiene un archivo ZIP, que incluye un programa de descarga de atajos de Windows (LNK), un documento señuelo relacionado con KazMunaiGas y un archivo README.txt con instrucciones escritas en ruso y kazajo para ejecutar un programa llamado «KazmunayGAZ_Viewer».
El correo electrónico, según la empresa de ciberseguridad, se envió desde una dirección de correo electrónico comprometida de una persona que trabajaba en el departamento de finanzas de KazMunaigas y se dirigió a otros empleados de la empresa en mayo de 2025.
La carga útil del archivo LNK está diseñada para eliminar cargas útiles adicionales, incluido un script por lotes malintencionado que allana el camino para un cargador de PowerShell denominado DOWNSHELL. Los ataques culminan con el despliegue de un implante basado en DLL, un binario de 64 bits que puede ejecutar código shell para lanzar un shell inverso.
Un análisis más detallado de la infraestructura del actor de amenazas ha revelado que está alojada en el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia Grupo Aeza , que fue sancionado por los EE. UU. en julio de 2025 por permitir actividades malintencionadas.
El desarrollo se produce cuando HarfangLab vinculó a un actor de amenazas alineado con Bielorrusia conocido como Escritor fantasma (también conocidas como FrostyNeighbor o UNC1151) a campañas dirigidas a Ucrania y Polonia desde abril de 2025 con archivos ZIP y RAR fraudulentos que tienen como objetivo recopilar información sobre los sistemas comprometidos y desplegar implantes para su posterior explotación.
«Estos archivos contienen hojas de cálculo XLS con una macro de VBA que descarga y carga una DLL», dijo la empresa francesa de ciberseguridad dijo . «Este último es responsable de recopilar información sobre el sistema comprometido y de recuperar el malware de última generación de un servidor de comando y control (C2)».
Se ha descubierto que las iteraciones posteriores de la campaña escriben un archivo Microsoft Cabinet (CAB) junto con el acceso directo LNK para extraer y ejecutar la DLL del archivo. A continuación, la DLL procede a realizar un reconocimiento inicial antes de eliminar del servidor externo el malware de la siguiente fase.
Los ataques contra Polonia, por otro lado, modifican la cadena de ataque para utilizar Slack como mecanismo de señalización y canal de exfiltración de datos, descargando a cambio una carga útil de segunda etapa que establece contacto con el dominio pesthacks [.] icu.
Al menos en un caso, la DLL que aparece en la hoja de cálculo de Excel con macros se utiliza para cargar un Cobalt Strike Beacon y facilitar la actividad posterior a la explotación.
«Estos cambios menores sugieren que el UAC-0057 podría estar explorando alternativas, en un probable intento de evitar la detección, pero prioriza la continuidad o el desarrollo de sus operaciones por encima del sigilo y la sofisticación», dijo HarfangLab.
Denuncian ciberataques contra Rusia
Los hallazgos llegan en medio Old Gremlin's renovaron los ataques de extorsión contra empresas rusas en la primera mitad de 2025, dirigidos contra hasta ocho grandes empresas industriales nacionales mediante campañas de correo electrónico de suplantación de identidad.
Las intrusiones, según Kaspersky , implicó el uso de la técnica Bring Your Own Vulnerable Driver (BYOVD) para deshabilitar las soluciones de seguridad en los ordenadores de las víctimas y el intérprete legítimo de Node.js para ejecutar scripts malintencionados.
Los ataques de suplantación de identidad dirigidos a Rusia también han entregado un nuevo ladrón de información llamado Phantom Stealer, que se basa en un ladrón de código abierto con nombre en código Stealerio , para recopilar una amplia gama de información confidencial mediante cebos por correo electrónico relacionados con contenido y pagos para adultos. También comparte superposiciones con otra rama de Stealerium conocida como Warp Stealer .
Según F6, Phantom Stealer también hereda el módulo «PornDetector» de Stealerium, que captura capturas de pantalla de la cámara web cuando los usuarios visitan sitios web pornográficos controlando la ventana activa del navegador y si el título incluye una lista configurable de términos como pornografía y sexo, entre otros.
«Es probable que esto se utilice más adelante para la 'sextorsión'», Proofpoint dijo en su propio análisis del malware. «Si bien esta característica no es nueva entre el malware para delitos informáticos, no se observa con frecuencia».
En los últimos meses, las organizaciones rusas también han sido objeto de ataques perpetrados por grupos de hackers rastreado como Atlas de nubes , Núcleo fantasma , y Lobo escamoso para recopilar información confidencial y entregar cargas útiles adicionales mediante familias de malware como Ducha VB , Phantom Rat y PhantomrShell.
Otro grupo de actividades tiene que ver con un nuevo malware para Android que se hace pasar por una herramienta antivirus creada por la agencia de Servicios Federales de Seguridad (FSB) de Rusia para identificar a los representantes de las empresas rusas. Las aplicaciones llevan nombres como SECURITY_FSB, С (FSB en ruso) y GuardCB, el último de los cuales es un intento de hacerse pasar por el Banco Central de la Federación de Rusia.
Descubierto por primera vez en enero de 2025, el malware extrae datos de aplicaciones de mensajería y navegador, transmite desde la cámara del teléfono y registra las pulsaciones de teclas al solicitar amplios permisos para acceder a los mensajes SMS, la ubicación, el audio y la cámara. También solicita la ejecución en segundo plano, los derechos de administrador del dispositivo y los servicios de accesibilidad.
«La interfaz de la aplicación solo proporciona un idioma: el ruso», Doctor Web dijo . «Por lo tanto, el malware está totalmente centrado en los usuarios rusos. La puerta trasera también utiliza servicios de accesibilidad para protegerse de ser eliminada si recibe la orden correspondiente de los actores de la amenaza».