El actor de amenazas patrocinado por el estado ruso conocido como APT 28 se ha atribuido a lo que se ha descrito como una campaña «sostenida» de recolección de credenciales dirigida a los usuarios de UKR [.] net, un servicio de correo web y noticias popular en Ucrania.
La actividad, observada por el Grupo Insikt de Recorded Future entre junio de 2024 y abril de 2025, se basa en hallazgos anteriores de la empresa de ciberseguridad en mayo de 2024, que detallaba los ataques del grupo de hackers contra redes europeas con el malware HeadLace y las páginas web de recopilación de credenciales.
APT28 también es rastreado como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422. Se estima que está afiliado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU).
Los ataques más recientes se caracterizan por el despliegue de páginas de inicio de sesión con temática de UKR [.] net en servicios legítimos como Mocky para incitar a los destinatarios a introducir sus credenciales y códigos de autenticación de dos factores (2FA). Los enlaces a estas páginas están incrustados en los documentos PDF que se distribuyen a través de correos electrónicos de suplantación de identidad.
Los enlaces se acortan utilizando servicios como tiny [.] cc o tinyurl [.] com. En algunos casos, también se ha observado que el autor de la amenaza utiliza subdominios creados en plataformas como Blogger (*.blogspot [.] com) para lanzar una cadena de redireccionamiento de dos niveles que lleva a la página de recolección de credenciales.
Los esfuerzos forman parte de un conjunto más amplio de operaciones de suplantación de identidad y robo de credenciales orquestadas por el adversario desde mediados de la década de 2000 y dirigidas a instituciones gubernamentales, contratistas de defensa, proveedores de armas, empresas de logística y grupos de expertos políticos en pos de los objetivos estratégicos de Rusia.
«Si bien esta campaña no revela objetivos específicos, el enfoque histórico de BlueDelta en el robo de credenciales para permitir la recopilación de información de inteligencia proporciona indicadores sólidos de la probable intención de recopilar información confidencial de los usuarios ucranianos en apoyo de los requisitos de inteligencia más amplios de la GRU», dijo la empresa propiedad de Mastercard en un informe compartido con The Hacker News.
Lo que ha cambiado es la transición del uso de enrutadores comprometidos a servicios de túnel proxy, como ngrok y Serveo, para capturar y transmitir las credenciales y los códigos 2FA robados.
«El continuo abuso por parte de BlueDelta de la infraestructura de alojamiento gratuito y túneles anónimos probablemente refleje una respuesta adaptativa a Derribos de infraestructura liderados por Occidente a principios de 2024», dijo Recorded Future. «La campaña pone de relieve el interés persistente del GRU por comprometer las credenciales de los usuarios ucranianos para apoyar las operaciones de recopilación de información en medio de la actual guerra de Rusia en Ucrania».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS