Contenido
Ha surgido un nuevo clúster de amenazas cibernéticas que se hace pasar por la firma eslovaca de ciberseguridad ESET en intentos de phishing dirigidos a organizaciones ucranianas. Detectada en mayo de 2025, esta campaña es rastreada por ESET bajo el nombre clave InedibleOchotense y se cree que está alineada con intereses rusos. Los atacantes enviaron correos spear-phishing y mensajes por Signal con enlaces a instaladores de ESET manipulados a varios objetivos en Ucrania. Estas comunicaciones, aunque escritas mayormente en ucraniano, incluían extrañamente una palabra en ruso en la primera línea, sugiriendo un error de traducción o cierta negligencia en la elaboración del mensaje.\n\nLos correos de phishing afirman falsamente que el equipo de monitoreo de ESET detectó un proceso sospechoso vinculado al correo del destinatario, advirtiendo que su sistema podría estar comprometido. Esta táctica aprovecha la fuerte reputación y uso generalizado de ESET en Ucrania para engañar a las víctimas y hacer que descarguen software malicioso desde dominios que imitan servicios legítimos de ESET, como esetsmart[.]com y esetremover[.]com. El instalador comprometido no solo incluye la herramienta auténtica ESET AV Remover, sino que también instala una puerta trasera llamada Kalambur (también conocida como SUMBUR). Esta puerta trasera se comunica a través de la red Tor para anonimato y puede desplegar OpenSSH y activar el acceso remoto por escritorio en el puerto 3389, permitiendo el control remoto de máquinas infectadas.\n\nInvestigaciones adicionales vinculan esta actividad con campañas previamente documentadas, como las que involucran la puerta trasera BACKORDER y clústeres monitoreados por CERT-UA bajo UAC-0212 y UAC-0125, que son subgrupos del notorio colectivo hacker Sandworm (APT44). Sandworm continúa realizando ataques cibernéticos destructivos en Ucrania, como el despliegue de malware wiper ZEROLOT y Sting contra una universidad no identificada en abril de 2025. Estos ataques se han extendido a varios sectores incluyendo gobierno, energía, logística e industria agrícola. ESET también señala que UAC-0099 facilitó el acceso inicial para Sandworm, subrayando la naturaleza en capas y colaborativa de estos actores de amenaza.\n\nAdemás de las actividades de Sandworm, otro grupo vinculado a Rusia llamado RomCom (también conocido por varios alias) llevó a cabo campañas de spear-phishing a mediados de julio de 2025. RomCom explotó una vulnerabilidad zero-day en WinRAR (CVE-2025-8088) con alta severidad, apuntando a empresas financieras, manufactureras, de defensa y logística en Europa y Canadá. Los exploits exitosos instalaron múltiples puertas traseras y herramientas de acceso remoto vinculadas a RomCom, como SnipBot, RustyClaw y un agente Mythic. Los analistas señalan que RomCom inicialmente funcionó como malware de cibercrimen comercial pero ha evolucionado en una utilidad para operaciones respaldadas por el estado ruso, enfocándose en robo de datos y recolección de credenciales relacionadas con eventos geopolíticos en torno al conflicto en Ucrania.\n\nLa creciente sofisticación y persistencia de estas campañas resaltan una dimensión continua de guerra cibernética en el conflicto en Ucrania. Los atacantes están aprovechando la suplantación de marcas, vulnerabilidades zero-day y despliegues de malware en múltiples etapas para infiltrarse en sistemas críticos. Las estrategias defensivas siguen siendo desafiantes debido al uso de herramientas legítimas junto con componentes maliciosos, y la explotación de marcas de software confiables como ESET. Este panorama de amenazas en evolución exige una vigilancia reforzada, mejores capacidades de detección y respuestas coordinadas en la comunidad de ciberseguridad y sectores afectados para mitigar riesgos continuos.
