Las entidades ucranianas se han convertido en el objetivo de una nueva campaña probablemente orquestada por actores de amenazas vinculados a Rusia, según un informe del equipo de inteligencia de amenazas LAB52 de S2 Grupo.

La campaña, observado en febrero de 2026, se ha evaluado para compartir superposiciones con una campaña anterior organizada por Laundry Bear (también conocido como UAC-0190 o Void Blizzard) estaba dirigido a las fuerzas de defensa ucranianas con una familia de malware conocida como PLUGGYAPE.

La actividad de ataque «emplea varios señuelos de temática judicial y benéfica para implementar una puerta trasera basada en JavaScript que se ejecuta a través del navegador Edge», afirma la empresa de ciberseguridad. Nombre en clave APLICACIÓN DE PERFORACIÓN , el malware es capaz de cargar y descargar archivos, aprovechar el micrófono y capturar imágenes a través de la cámara web aprovechando las funciones del navegador web.

adsense

Se han identificado dos versiones diferentes de la campaña, y la primera iteración se detectó a principios de febrero al utilizar un archivo de acceso directo de Windows (LNK) para crear una aplicación HTML (HTA) en la carpeta temporal, que luego carga un script remoto remoto alojado en Pastefy, un servicio de pegado legítimo.

Para establecer la persistencia, los archivos LNK se copian en la carpeta de inicio de Windows para que se inicien automáticamente tras un reinicio del sistema. A continuación, la cadena de ataque muestra una URL que contiene señuelos relacionados con la instalación de Starlink o de una organización benéfica ucraniana llamada Come Back Alive Foundation.

El archivo HTML se ejecuta finalmente a través del navegador Microsoft Edge en modo headless , que luego carga el script ofuscado remoto alojado en Pastefy.

El navegador se ejecuta con parámetros adicionales como —no-sandbox, —disable-web-security, —allow-file-access-from-files, —use-fake-ui-for-media-stream, —auto-select-screen-capture-source=true y —disable-user-media-security, lo que le otorga acceso al sistema de archivos local, así como a la cámara, el micrófono y la captura de pantalla sin necesidad de la interacción del usuario.

Básicamente, el artefacto funciona como una puerta trasera ligera para facilitar el acceso al sistema de archivos y capturar el audio del micrófono, el vídeo de la cámara y las imágenes de la pantalla del dispositivo a través del navegador. También genera la huella digital del dispositivo mediante una técnica denominada huellas dactilares en lienzo cuando se ejecuta por primera vez y usa Pastefy como un solucionador sin salida para obtener una URL de WebSocket utilizada para las comunicaciones de comando y control (C2).

El malware transmite los datos de las huellas dactilares del dispositivo junto con el país de la víctima, que se determina a partir de la zona horaria de la máquina. Comprueba específicamente si las zonas horarias corresponden a las del Reino Unido, Rusia, Alemania, Francia, China, Japón, EE. UU., Brasil, India, Ucrania, Canadá, Australia, Italia, España y Polonia. Si ese no es el caso, el valor predeterminado es EE. UU.

La segunda versión de la campaña, descubierta a finales de febrero de 2026, evita los archivos LNK para los módulos del Panel de control de Windows, manteniendo la secuencia de infección prácticamente intacta. Otro cambio notable es el de la propia puerta trasera, que ahora se ha actualizado para permitir la enumeración recursiva de archivos, la carga de archivos por lotes y la descarga arbitraria de archivos.

«Por razones de seguridad, JavaScript no permite la descarga remota de archivos», dijo LAB52. «Esta es la razón por la que los atacantes utilizan el protocolo DevTools de Chrome (CDP), un protocolo interno de los navegadores basados en Chromium que solo se puede usar cuando el parámetro —remote-debugging-port está habilitado».

enlaces

Se cree que la puerta trasera aún se encuentra en las etapas iniciales de desarrollo. Se ha observado que una primera variante del malware, detectada en estado salvaje el 28 de enero de 2026, se limitaba a comunicarse con el dominio «gnome [.] com» en lugar de descargar la carga principal de Pastefy.

«Uno de los aspectos más notables es el uso del navegador para implementar una puerta trasera, lo que sugiere que los atacantes están explorando nuevas formas de evadir la detección», dijo el proveedor de seguridad español.

«El navegador es una ventaja para este tipo de actividad porque es un proceso común y, por lo general, no sospechoso, ofrece funciones ampliadas accesibles mediante parámetros de depuración que permiten realizar acciones no seguras, como la descarga de archivos remotos, y proporciona acceso legítimo a recursos confidenciales, como el micrófono, la cámara o la grabación de pantalla, sin activar alertas inmediatas».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.