Los actores de amenazas patrocinados por el estado ruso han sido vinculados a una nueva serie de ataques de recolección de credenciales dirigidos contra personas asociadas con una agencia turca de investigación energética y nuclear, así como contra personal afiliado a un centro de estudios europeo y organizaciones en Macedonia del Norte y Uzbekistán.
La actividad se ha atribuido a la APT28 (también conocida como BlueDelta), que se atribuyó a una actividad «sostenida» campaña de recolección de credenciales dirigido a usuarios de UKR [.] net el mes pasado. La APT28 está asociada a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU).
«El uso de material de señuelos en turco y dirigido a la región sugiere que BlueDelta adaptó su contenido para aumentar la credibilidad entre audiencias profesionales y geográficas específicas», dijo Insikt Group, de Recorded Future dijo . «Estas selecciones reflejan un interés continuo en las organizaciones relacionadas con la investigación energética, la cooperación en materia de defensa y las redes de comunicación gubernamentales relevantes para las prioridades de la inteligencia rusa».
La empresa de ciberseguridad describió los ataques como dirigidos a un grupo pequeño pero distinto de víctimas en febrero y septiembre de 2025, y que la campaña aprovechó páginas de inicio de sesión falsas diseñadas para parecerse a servicios populares como los portales VPN de Microsoft Outlook Web Access (OWA), Google y Sophos.
Los esfuerzos son dignos de mención por el hecho de que los usuarios desprevenidos son redirigidos a los sitios legítimos después de ingresar las credenciales en las páginas de destino falsas, evitando así generar señales de alerta. También se ha descubierto que las campañas recurren en gran medida a servicios como Webhook [.] site, InfinityFree, Byet Internet Services y ngrok para alojar las páginas de suplantación de identidad, filtrar los datos robados y permitir las redirecciones.
En otro intento de darles una apariencia de legitimidad, se dice que los actores de la amenaza utilizaron documentos legítimos en PDF para atraer, incluida una publicación del Centro de Investigación del Golfo relacionada con la Guerra Irán-Israel de junio de 2025 y una sesión informativa sobre políticas de julio de 2025 en la que se pide una nuevo pacto para el Mediterráneo publicado por el centro de estudios sobre cambio climático ECCO.
La cadena de ataque comienza con un correo electrónico de suplantación de identidad que contiene un enlace abreviado que, al hacer clic en él, redirige a las víctimas a otro enlace alojado en el sitio webhook [.], que muestra brevemente el documento señuelo durante unos dos segundos antes de redirigir a un segundo sitio webhook [.] que aloja una página de inicio de sesión falsa de Microsoft OWA.
En esta página hay un elemento de formulario HTML oculto que almacena la URL del sitio webhook [.] y utiliza JavaScript para enviar un
Indicador de «página abierta», transmite las credenciales enviadas al punto final del webhook y, en última instancia, las redirige al PDF alojado en el sitio web real.
También se ha observado al APT28 realizando otras tres campañas -
- Una campaña de junio de 2025 que implementó una página de recopilación de credenciales que imitaba una página de restablecimiento de contraseñas de Sophos VPN alojada en una infraestructura proporcionada por InfinityFree para recopilar las credenciales introducidas en el formulario y redirigir a las víctimas a un portal legítimo de Sophos VPN que pertenecía a un centro de estudios anónimo de la UE
- Una campaña de septiembre de 2025 que utilizó páginas de recolección de credenciales alojadas en dominios InfinityFree para advertir falsamente a los usuarios sobre contraseñas caducadas, engañarlos para que introdujeran sus credenciales y redirigirlos a una página de inicio de sesión legítima asociada a una organización militar en la República de Macedonia del Norte y a un integrador de TI con sede en Uzbekistán
- Una campaña de abril de 2025 que utilizó una página falsa de restablecimiento de contraseñas de Google alojada en Byet Internet Services para recopilar las credenciales de las víctimas y filtrarlas a una URL ngrok
«El abuso constante por parte de BlueDelta de la infraestructura legítima de servicios de Internet demuestra que el grupo sigue dependiendo de los servicios desechables para alojar y transmitir los datos de credenciales», dijo la empresa propiedad de Mastercard. «Estas campañas subrayan el compromiso sostenido del GRU con la recolección de credenciales como un método de bajo costo y alto rendimiento para recopilar información que respalde los objetivos de la inteligencia rusa».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS