Investigadores de ciberseguridad han revelado detalles de una campaña coordinada de phishing denominada fantasmacaptcha dirigido a organizaciones asociadas con los esfuerzos de ayuda de cruzada de Ucrania para entregar un troyano de acercamiento remoto que utiliza un WebSocket para comando y control (C2).
La actividad, que tuvo emplazamiento el 8 de octubre de 2025, estuvo dirigida a miembros individuales de la Cruz Roja Internacional, el Consejo Noruego para los Refugiados, la oficina de Ucrania del Fondo de las Naciones Unidas para la Infancia (UNICEF), el Consejo Noruego para los Refugiados, el Registro de Daños para Ucrania del Consejo de Europa y las administraciones gubernamentales regionales de Ucrania en las regiones de Donetsk, Dnipropetrovsk, Poltava y Mikolaevsk, dijo SentinelOne en un nuevo mensaje publicado hoy.
Se ha descubierto que los correos electrónicos de phishing se hacen producirse por la Oficina del Presidente de Ucrania y contienen un documento PDF con trampa explosiva que contiene un enlace incrustado que, cuando se hace clic, redirige a las víctimas a un sitio Teleobjetivo mentiroso (“aplicación zoomconference(.)”) y los engaña para que ejecuten un comando PowerShell receloso a través de una página CAPTCHA de Cloudflare falsa estilo ClickFix bajo la apariencia de una comprobación del navegador.
La página falsa de Cloudflare actúa como intermediario al configurar una conexión WebSocket con un servidor controlado por un atacante y transmite un ID de cliente generado por JavaScript, y el navegador lleva a la víctima a una reunión de Teleobjetivo legítima y protegida con contraseña si el servidor WebSocket contesta con un identificador coincidente.
Se sospecha que esta ruta de infección probablemente esté reservada para llamadas de ingeniería social en vivo con las víctimas, aunque SentinelOne dijo que no observó a los actores de amenazas activando esta límite de ataque durante su investigación.
El comando de PowerShell ejecutado a posteriori de pegarlo en el cuadro de diálogo Ejecutar de Windows conduce a un descargador ofuscado que es el principal responsable de recuperar y ejecutar una carga útil de segunda etapa desde un servidor remoto. Este malware de segunda etapa realiza un agradecimiento del host comprometido y lo envía al mismo servidor, que luego contesta con el troyano de acercamiento remoto PowerShell.
“La carga útil final es un WebSocket RAT alojado en una infraestructura de propiedad rusa que permite la ejecución remota arbitraria de comandos, la filtración de datos y el posible despliegue de malware adicional”, dijo el investigador de seguridad Tom Hegel. “El RAT basado en WebSocket es una puerta trasera de ejecución remota de comandos, efectivamente un shell remoto que le da al cirujano acercamiento gratuito al host”.
El malware se conecta a un servidor WebSocket remoto en “wss://bsnowcommunications(.)com:80” y está configurado para cobrar mensajes JSON codificados en Base64 que incluyen un comando que se ejecutará con Invoke-Expression o ejecutar una carga útil de PowerShell. Después, los resultados de la ejecución se empaquetan en una condena JSON y se envían al servidor a través de WebSocket.
Un estudio más detallado de los envíos de VirusTotal ha determinado que el PDF armado de 8 páginas se ha subido desde múltiples ubicaciones, incluidas Ucrania, India, Italia y Eslovaquia, lo que probablemente indica un objetivo amplio.
SentinelOne señaló que los preparativos para la campaña comenzaron el 27 de marzo de 2025, cuando los atacantes registraron el dominio “goodhillsenterprise(.)com”, que se ha utilizado para servir los scripts de malware PowerShell ofuscados. Curiosamente, se dice que la infraestructura asociada con la “aplicación zoomconference(.)” estuvo activa solo durante un día el 8 de octubre.
Esto sugiere “una planificación sofisticada y un esforzado compromiso con la seguridad operativa”, señaló la compañía, añadiendo que asimismo descubrió aplicaciones falsas alojadas en el dominio “princess-mens(.)click” que tienen como objetivo resumir geolocalización, contactos, registros de llamadas, archivos multimedia, información del dispositivo, inventario de aplicaciones instaladas y otros datos de dispositivos Android comprometidos.
La campaña no ha sido atribuida a ningún actor o montón de amenazas conocido, aunque el uso de ClickFix se superpone con el de los ataques recientemente revelados organizados por el montón de hackers COLDRIVER vinculado a Rusia.
“La campaña PhantomCaptcha refleja un adversario en gran medida capaz, que demuestra una amplia planificación operativa, infraestructura compartimentada y control de exposición deliberado”, dijo SentinelOne.
“El período de seis meses entre el registro original de la infraestructura y la ejecución del ataque, seguido por la rápida matanza de los dominios de cara al heredero mientras se mantiene el comando y control del backend, destaca a un cirujano admisiblemente versado tanto en el oficio ofensivo como en la diversión de detección defensiva”.
