Un grupo de hackers vinculado a Rusia ha iniciado una nueva campaña de espionaje contra organizaciones en Ucrania. La operación, detectada por primera vez en febrero, utiliza documentos falsos sobre Starlink y una caridad local. Investigadores de la firma de ciberseguridad Lab52 identificaron la amenaza como un intento de robar datos sensibles.
El malware, bautizado como DrillApp, permite a los atacantes subir y descargar archivos desde equipos infectados sin necesidad de permisos complejos. Los intrusos también pueden grabar audio a través del micrófono y capturar imágenes en tiempo real de la cámara web. Esta herramienta ofrece un control remoto completo sobre el dispositivo de la víctima durante la sesión.
Los documentos maliciosos se disfrazan como solicitudes urgentes de ayuda para la organización benéfica Come Back Alive. Además, incluyen imágenes relacionadas con la verificación de terminales de internet satelital Starlink para uso militar. Ucrania implementó este sistema de verificación tras confirmar el uso de drones rusos con tecnología similar en el campo de batalla.
Al abrir el archivo adjunto, el software malicioso se ejecuta automáticamente mediante el navegador Microsoft Edge en lugar de un ejecutable tradicional. Los atacantes aprovechan el acceso legítimo que los navegadores modernos tienen a características sensibles del dispositivo como el sistema de archivos. Esta técnica dificulta que las herramientas de seguridad estándar detecten la actividad maliciosa de inmediato.
Lab52 atribuyó la campaña actual al grupo Laundry Bear, también rastreado bajo el nombre de Void Blizzard por analistas internacionales. Este actor ha estado activo desde al menos 2024 y ha dirigido ataques previos contra estados miembros de la Otan y otras instituciones. La firma de ciberseguridad señala que utilizan técnicas relativas y difíciles de detectar para mantener el acceso.
El equipo de respuesta a emergencias informáticas de Ucrania, CERT-UA, reportó una operación separada por el mismo grupo anteriormente. Esta acción previa se centró en atacar específicamente a las fuerzas armadas del país durante el inicio de este año. Los investigadores notaron que las campañas recientes dependen de técnicas muy similares a las operaciones anteriores.
Microsoft informó previamente que sus organizaciones en varios sectores clave de Ucrania se han visto comprometidas por actores maliciosos. Los sectores afectados incluyen educación, transporte y defensa según los reportes detallados de la compañía tecnológica. Esto sugiere una escalada significativa en la capacidad de los actores de amenazas rusas en la región de conflicto.
Los investigadores identificaron dos versiones distintas del malware que difieren principalmente en los anzuelos utilizados para engañar a las víctimas potenciales. Los expertos consideran que el spyware parece estar en una etapa temprana de desarrollo técnico y funcional. Esto indica que los atacantes pueden estar experimentando con nuevos métodos para evadir defensas de red y antivirus.
Aunque existen superposiciones claras entre las tácticas de Laundry Bear y el actor de inteligencia militar ruso APT28, los analistas los consideran actores distintos. APT28, también conocido como Fancy Bear, tiene un historial de operaciones de larga duración en Europa del Este. Esta distinción es crucial para entender la dinámica de las amenazas y la coordinación entre grupos rivales.
La evolución de estas tácticas de espionaje sugiere un cambio notable en la guerra cibernética entre Rusia y Ucrania en los últimos meses. Los observadores deben vigilar si el malware alcanza versiones más estables y potentes para comprometer infraestructuras críticas. La seguridad de las redes nacionales dependerá de la detección temprana de estas amenazas sofisticadas y persistentes.
