Amazon dijo el viernes que marcó e interrumpió lo que describió como una campaña de agujero de riego oportunista orquestada por los actores APT29 vinculados a Rusia como parte de sus esfuerzos de monasterio de inteligencia.
La campaña utilizó “sitios web comprometidos para redirigir a los visitantes a la infraestructura maliciosa diseñada para engañar a los usuarios para que autorizar los dispositivos controlados por los atacantes a través del flujo de autenticación del código de dispositivo de Microsoft”, dijo el director de seguridad de la información de Amazon, CJ Moses.
Apt29, además rastreado como BlueBravo, Ursa Cloed, Cozylarch, Cozy Bear, Earth Koshchei, ICECAP, Midnight Blizzard y los Dukes, es el nombre asignado a un corro de piratería patrocinado por el estado con vínculos con el Servicio de Inteligencia Extranjera (SVR) de Rusia.
En los últimos meses, el actor prolífico de amenaza se ha vinculado a ataques que aprovechan los archivos de configuración del Protocolo de Descripción Remoto Astuto (RDP) para dirigirse a las entidades ucranianas y exfiltrar datos confidenciales.
Desde el manifestación del año, se ha observado que el colectivo adversario adoptan varios métodos de phishing, incluidos phishing del código de dispositivo y phishing de unión de dispositivo, para obtener camino no facultado a las cuentas de Microsoft 365.
Tan recientemente como junio de 2025, Google dijo que observó un clúster de amenazas con afiliaciones a Apt29 armando una característica de la cuenta de Google indicación contraseñas específicas de la aplicación para obtener camino a los correos electrónicos de las víctimas. La campaña en gran medida dirigida se atribuyó a UNC6293.
La última actividad identificada por el equipo de inteligencia de amenazas de Amazon subraya los continuos esfuerzos del actor de amenaza para cosechar credenciales y reunir inteligencia de interés, al tiempo que afilaba su tradición.
“Este enfoque oportunista ilustra la proceso continua de APT29 al esquilar sus operaciones para editar una red más amplia en sus esfuerzos de monasterio de inteligencia”, dijo Moses.
Los ataques involucraron a APT29 que comprometieron varios sitios web legítimos e inyectan JavaScript que redirigió aproximadamente el 10% de los visitantes a dominios controlados por actores, como FindCloudflare (.) Com, que imitó las páginas de demostración de Cloudflare para dar una ilusión de legalidad.
En ingenuidad, el objetivo final de la campaña era atraer a las víctimas a ingresar un código de dispositivo lícito generado por el actor de amenazas en una página de inicio de sesión, otorgándoles efectivamente camino a sus cuentas y datos de Microsoft. Esta técnica fue detallada por Microsoft y Volexity en febrero de 2025.
La actividad además es importante por incorporar varias técnicas de entretenimiento, como la codificación de Base64 para ocultar el código bellaco, establecer cookies para evitar redirecciones repetidas del mismo visitante y cambiar a una nueva infraestructura cuando se bloquea.
“A pesar de los intentos del actor de portar a una nueva infraestructura, incluido un traslado de AWS a otro proveedor de la cúmulo, nuestro equipo continuó rastreando e interrumpiendo sus operaciones”, dijo Moses. “A posteriori de nuestra intervención, observamos que el actor registra dominios adicionales como Cloudflare.RedirectPartners (.) Com, que nuevamente intentó atraer a las víctimas a los flujos de trabajo de autenticación del código de dispositivo de Microsoft”.
