El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una serie de nuevos ciberataques dirigidos a sus fuerzas de defensa y a instituciones estatales. Estos ataques, que tuvieron lugar entre octubre y diciembre de 2025, involucran diversas técnicas de intrusión y varias familias de malware, incluyendo una conocida como PLUGGYAPE.
Ataques PLUGGYAPE atribuidos a Void Blizzard
Entre los ataques más destacados se encuentran aquellos que distribuyen el malware PLUGGYAPE, atribuidos con “confianza media” al grupo de hacking ruso Void Blizzard (también conocido como Laundry Bear o UAC-0190), activo desde al menos abril de 2024.
Cadena de Ataque y Vectores
- Vectores iniciales: Los atacantes utilizan aplicaciones de mensajería instantánea como Signal y WhatsApp para contactar a sus objetivos.
- Ingeniería social: Se disfrazan de organizaciones benéficas para engañar a las víctimas, convenciéndolas de hacer clic en enlaces aparentemente inofensivos.
- Sitios web falsos: Los enlaces dirigen a dominios que suplantan fundaciones de ayuda, como “harthulp-ua[.]com” o “solidarity-help[.]org”.
- Descarga de malware: Al hacer clic, las víctimas descargan un archivo comprimido protegido con contraseña que contiene un ejecutable creado con PyInstaller, el cual despliega PLUGGYAPE.
Malware PLUGGYAPE
PLUGGYAPE es un backdoor escrito en Python. El CERT-UA ha observado que sus sucesivas iteraciones incorporan ofuscación y comprobaciones anti-análisis para evitar su ejecución en entornos virtuales.
- Comunicación C2: Establece comunicación con un servidor remoto utilizando WebSocket o Message Queuing Telemetry Transport (MQTT). El soporte para MQTT se añadió en diciembre de 2025.
- Resiliencia: Las direcciones de comando y control (C2) no están codificadas directamente en el malware, sino que se recuperan de servicios de pegado externos como rentry[.]co y pastebin[.]com, donde se almacenan codificadas en base64. Esto permite a los atacantes actualizar los servidores C2 en tiempo real si la infraestructura original es detectada o eliminada, mejorando su seguridad operativa y resiliencia.
Sofisticación de los Ataques
El CERT-UA destaca una creciente sofisticación en la interacción inicial con los objetivos:
- Uso de cuentas legítimas y números de teléfono de operadores móviles ucranianos.
- Comunicación en idioma ucraniano, incluyendo audio y video.
- Los atacantes demuestran un conocimiento detallado y relevante sobre el individuo, la organización y sus operaciones.
- Los mensajeros ampliamente utilizados se están convirtiendo en el canal más común para la entrega de herramientas de ciberamenazas.
Otros Clústeres de Amenazas
Además de Void Blizzard, el CERT-UA ha revelado actividades de otros grupos de amenazas:
UAC-0239
- Vectores: Correos electrónicos de phishing enviados desde direcciones UKR[.]net y Gmail, que contienen enlaces a un archivo VHD o lo adjuntan directamente.
- Malware:
- FILEMESS: Un stealer basado en Go que recopila archivos con extensiones específicas y los exfiltra a Telegram.
- OrcaC2: Un framework C2 de código abierto que permite manipulación del sistema, transferencia de archivos, keylogging y ejecución remota de comandos.
- Objetivos: Fuerzas de defensa ucranianas y gobiernos locales.
UAC-0241
- Vectores: Campañas de spear-phishing que utilizan archivos ZIP que contienen un archivo de acceso directo de Windows (LNK).
- Ejecución: La apertura del archivo LNK activa la ejecución de una aplicación HTML (HTA) mediante “mshta.exe”. El payload HTA lanza JavaScript para descargar y ejecutar un script de PowerShell.
- Malware:
- LaZagne: Una herramienta de código abierto utilizada para recuperar contraseñas almacenadas.
- GAMYBEAR: Un backdoor basado en Go que puede recibir y ejecutar comandos entrantes de un servidor, transmitiendo los resultados de vuelta en formato Base64 a través de HTTP.
- Objetivos: Instituciones educativas y autoridades estatales en Ucrania.
Conclusión
Las revelaciones del CERT-UA subrayan la persistencia y evolución de los ciberataques contra Ucrania, caracterizados por la sofisticación de la ingeniería social, el uso de infraestructura legítima y la adaptación de diversas herramientas de malware. La atribución a grupos de hacking rusos y la diversidad de payloads (desde backdoors personalizados como PLUGGYAPE hasta stealers y frameworks C2 de código abierto) demuestran un panorama de amenazas complejo y dinámico que exige una vigilancia constante y una capacidad de respuesta robusta por parte de las fuerzas de defensa y las instituciones críticas de Ucrania. La información detallada sobre las TTPs (Tácticas, Técnicas y Procedimientos) de estos actores es crucial para fortalecer las defensas y la inteligencia de amenazas.
Referencias
- Dominios maliciosos: harthulp-ua[.]com, solidarity-help[.]org
- Servicios de pegado para C2: rentry[.]co, pastebin[.]com