Se ha observado que los actores de amenaza con presuntos lazos con Rusia aprovechan una característica de la cuenta de Google emplazamiento contraseñas específicas de la aplicación (o contraseñas de aplicaciones) como parte de una nueva táctica de ingeniería social diseñada para obtener llegada a los correos electrónicos de las víctimas.
Los detalles de la campaña enormemente específica fueron revelados por Google Threat Intelligence Group (GTIG) y el Laboratorio de Ciudadanos, afirmando que la actividad averiguación hacerse sobrevenir por el Unidad de Estado de los Estados Unidos.
“Desde al menos abril hasta principios de junio de 2025, este actor se dirigió a académicos y críticos prominentes de Rusia, a menudo utilizando una amplia edificación de una relación y señuelos a medida para convencer al objetivo de establecer contraseñas específicas de la aplicación (ASP), dijeron los investigadores de GTIG Gabby Roncone y Wesley Shields.
“Una vez que el objetivo comparte el código de llegada ASP, los atacantes establecen un llegada persistente al caja de la víctima”.
La actividad ha sido atribuida por Google a un clúster de amenazas que rastrea como UNC6293, que según él está afiliado al orden de piratería patrocinado por el estado ruso llamado APT29 (igualmente conocido como BlueBravo, Ursa, Cozlarch, Cosy Bear, IceCap, Midnight Blizzard y los Dukes).
La ingeniería social se desarrolla en un espacio de varias semanas para establecer una relación con los objetivos, en emplazamiento de inducir una sensación de presión o necesidad que de otro modo podría suceder elevado sospechas.
Esto implica mandar correos electrónicos de phishing benignos disfrazados de invitaciones de reuniones que incluyen no menos de cuatro direcciones ficticias diferentes con la dirección de correo electrónico “@state.gov” en la tendencia CC para prestarle una chapa de credibilidad.
“Un objetivo podría razonar ‘si esto no es probado, seguramente uno de estos empleados del Unidad de Estado diría poco, especialmente si respondo y los mantengo en la tendencia CC'”, dijo el Laboratorio de Ciudadanos.
“Creemos que el atacante es consciente de que el servidor de correo electrónico del Unidad de Estado aparentemente está configurado para aceptar todos los mensajes y no emite una respuesta de ‘retroceso’ incluso cuando la dirección no existe”.
Esto indica que estos ataques se planifican y ejecutan meticulosamente para engañar a las víctimas para separarse de una contraseña de 16 dígitos que brinda el permiso adversario para obtener a su caja con el pretexto de habilitar “comunicaciones seguras entre empleados internos y socios externos”.
Google describe estas contraseñas de la aplicación como una forma de una aplicación o dispositivo menos segura la capacidad de obtener a la cuenta de Google de un adjudicatario que tiene habilitada la autenticación de dos factores (2FA).
“Cuando usa la comprobación de 2 pasos, se pueden rodear algunas aplicaciones o dispositivos menos seguros para obtener a su cuenta de Google”, según la empresa. “Las contraseñas de la aplicación son una forma de permitir que la aplicación o el dispositivo bloqueado accedan a su cuenta de Google”.
Los mensajes iniciales están diseñados para provocar una respuesta del objetivo para configurar una reunión, posteriormente de lo cual se les envía un documento PDF que enumera una serie de pasos para crear una contraseña de la aplicación para obtener de forma segura a un entorno de la cirro del Unidad de Estado traidor y compartir el código con ellos.
“Los atacantes configuraron un cliente de correo para usar el ASP, probablemente con el objetivo final de obtener y interpretar la correspondencia por correo electrónico de la víctima”, dijo Gtig. “Este método igualmente permite a los atacantes tener llegada persistente a las cuentas”.
Google dijo que observó una segunda campaña con temas ucranianos, y que los atacantes registraron cuentas de víctimas principalmente utilizando representantes residenciales y servidores VPS para escamotear la detección. La compañía dijo que desde entonces ha tomado medidas para apoyar las cuentas comprometidas por las campañas.
Los lazos de UNC6293 con APT29 provienen de una serie de ataques de ingeniería social similares que han utilizado técnicas novedosas como el código de dispositivo Phishing y el dispositivo unen phishing para obtener llegada no competente a cuentas de Microsoft 365 desde el aparición del año.
El phishing de unión de dispositivos es particularmente sobresaliente por el hecho de que engaña a las víctimas para que envíen a los atacantes un código OAuth generado por Microsoft para secuestrar sus cuentas.
“Desde abril de 2025, Microsoft ha observado a los presuntos actores de amenaza vinculados a rusos que utilizan mensajes de aplicaciones de terceros o correos electrónicos que hacen remisión a las próximas invitaciones de reuniones para entregar un enlace malvado que contiene un código de autorización válido”, reveló Microsoft el mes pasado.
“Cuando se hace clic, el enlace devuelve un token para el servicio de registro del dispositivo, lo que permite el registro del dispositivo del actor de amenaza al inquilino”.
