Investigadores de ciberseguridad han revelado detalles de una campaña activa de phishing dirigida a una amplia grado de sectores en Rusia con correos electrónicos de phishing que entregan Phantom Stealer a través de imágenes maliciosas de discos ópticos ISO.
La actividad, denominada Operación MoneyMount-ISO por Seqrite Labs, ha señalado principalmente a entidades financieras y contables, y aquellas de los sectores de adquisiciones, admitido y retribución emergieron como objetivos secundarios.
“Esta campaña emplea un señuelo de confirmación de cuota desleal para entregar el malware de robo de información Phantom a través de una prisión de archivos adjuntos de varias etapas”, dijo la compañía de ciberseguridad.
La prisión de infección comienza con un correo electrónico de phishing que se hace advenir por comunicaciones financieras legítimas, instando a los destinatarios a confirmar una transferencia bancaria nuevo. Adjunto al correo electrónico hay un archivo ZIP que dice contener detalles adicionales, pero, en cambio, contiene un archivo ISO que, cuando se inicia, se monta en el sistema como una pelotón de CD aparente.
La imagen ISO (“Confirmación de transferencia bancaria.iso” o “Confirmación de transferencia bancaria.iso”) sirve como un ejecutable diseñado para iniciar Phantom Stealer mediante una DLL integrada (“CreativeAI.dll”).
Phantom Stealer es capaz de extraer datos de las extensiones del navegador de billeteras de criptomonedas instaladas en navegadores basados en Chromium y aplicaciones de billeteras de escritorio, así como archivos de captura, tokens de autenticación de Discord y contraseñas, cookies y detalles de tarjetas de crédito relacionados con el navegador.
Igualmente monitorea el contenido del portapapeles, registra las pulsaciones de teclas y ejecuta una serie de comprobaciones para detectar entornos virtualizados, de espacio eventual o de exploración y, de ser así, cancela su ejecución. La exfiltración de datos se logra a través de un bot de Telegram o de un webhook de Discord controlado por un atacante. Adicionalmente de eso, el timador permite la transferencia de archivos a un servidor FTP.
En los últimos meses, las organizaciones rusas, principalmente los departamentos de fortuna humanos y retribución, todavía han sido blanco de correos electrónicos de phishing que emplean señuelos relacionados con bonificaciones o políticas financieras internas para implementar un implante previamente no documentado llamado DUPERUNNER que carga AdaptixC2, un entorno de comando y control (C2) de código libre.
La campaña, denominada DupeHike, se ha atribuido a un corro de amenazas denominado UNG0902.
“El ZIP se ha utilizado como fuente preliminar de infección basada en phishing que contiene señuelos con extensión PDF y LNK, que descarga el implante DUPERUNNER, que finalmente ejecuta Adaptix C2 Beacon”, dijo Seqrite.
El archivo LNK (“Документ_1_О_размере_годовой_премии.pdf.lnk” o “Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”), a su vez, procede a descargar DUPERUNNER desde un servidor extranjero usando “powershell.exe”. La responsabilidad principal del implante es recuperar y mostrar un PDF señuelo e iniciar AdaptixC2 inyectándolo en un proceso auténtico de Windows como “explorer.exe”, “notepad.exe” y “msedge.exe”.
Otras campañas de phishing se han dirigido a los sectores financiero, admitido y aeroespacial de Rusia para distribuir Cobalt Strike y herramientas maliciosas como Formbook, DarkWatchman y PhantomRemote que son capaces de robar datos y controlar el teclado de forma praxis. Los servidores de correo electrónico de las empresas rusas comprometidas se utilizan para mandar mensajes de phishing.
La empresa francesa de ciberseguridad Intrinsec ha atribuido la intrusión dirigida a la industria aeroespacial rusa a hacktivistas alineados con los intereses ucranianos. La actividad, detectada entre junio y septiembre de 2025, se superpone con Hive0117, Operation CargoTalon y Rainbow Hyena (todavía conocida como Fairy Trickster, Head Mare y PhantomCore).
Igualmente se ha descubierto que algunos de estos esfuerzos redirigen a los usuarios a páginas de inicio de sesión de phishing alojadas en InterPlanetary File System (IPFS) y Vercel, diseñadas para robar credenciales asociadas con Microsoft Outlook y Bureau 1440, una empresa aeroespacial rusa.
“Las campañas observadas entre junio y septiembre de 2025 (…) tenían como objetivo comprometer a las entidades que cooperan activamente con el ejército ruso en medio del flagrante conflicto con Ucrania, evaluado en gran medida por las sanciones occidentales que les han impuesto”, afirmó Intrinsec.
