La Oficina Federal de Alemania para la Protección de la Constitución (asimismo conocida como Bundesamt für Verfassungsschutz o BfV) y la Oficina Federal para la Seguridad de la Información (BSI) han emitido una advertencia conjunta sobre una campaña cibernética maliciosa emprendida por un probable actor de amenazas patrocinado por el estado que implica resistir a sitio ataques de phishing a la aplicación de transporte Signal.
“La atención se centra en objetivos de parada rango en la política, el ejército y la diplomacia, así como en periodistas de investigación en Alemania y Europa”, dijeron las agencias. “El entrada no facultado a cuentas de transporte no sólo permite el entrada a comunicaciones privadas confidenciales sino que asimismo compromete potencialmente redes enteras”.
Un aspecto digno de mención de la campaña es que no implica la distribución de malware ni la explotación de ninguna vulnerabilidad de seguridad en la plataforma de transporte centrada en la privacidad. Más acertadamente, el objetivo final es convertir sus funciones legítimas en armas para obtener entrada encubierto a los chats de la víctima, próximo con sus listas de contactos.
La sujeción de ataque es la sucesivo: los actores de amenazas se hacen suceder por “Signal Support” o un chatbot de soporte llamado “Signal Security ChatBot” para iniciar contacto directo con posibles objetivos, instándolos a proporcionar un PIN o un código de comprobación recibido por SMS, o corren el aventura de perder datos.
Si la víctima cumple, los atacantes pueden registrar la cuenta y obtener entrada al perfil, la configuración, los contactos y la letanía de aislamiento de la víctima a través de un dispositivo y un número de teléfono móvil bajo su control. Si acertadamente el PIN robado no permite el entrada a las conversaciones pasadas de la víctima, un actor de amenazas puede usarlo para capturar mensajes entrantes y destinar mensajes haciéndose suceder por la víctima.
El adjudicatario objetivo, que ya ha perdido el entrada a su cuenta, recibe instrucciones del actor de amenazas disfrazado de chatbot de soporte para que se registre para obtener una nueva cuenta.
Todavía existe una secuencia de infección alternativa que aprovecha la opción de vinculación de dispositivos para engañar a las víctimas para que escaneen un código QR, concediendo así a los atacantes entrada a la cuenta de la víctima, incluidos sus mensajes de los últimos 45 días, en un dispositivo administrado por ellos.
Sin incautación, en este caso, las personas objetivo siguen teniendo entrada a su cuenta, sin darse cuenta de que sus chats y listas de contactos ahora asimismo están expuestos a los actores de amenazas.
Las autoridades de seguridad advirtieron que si acertadamente el enfoque coetáneo de la campaña parece ser Signal, el ataque asimismo puede echarse a WhatsApp, ya que asimismo incorpora funciones similares de PIN y vinculación de dispositivos como parte de la comprobación en dos pasos.
“El entrada exitoso a las cuentas de transporte no sólo permite ver comunicaciones individuales confidenciales, sino que asimismo puede comprometer redes enteras a través de chats grupales”, dijeron BfV y BSI.
Si acertadamente no se sabe quién está detrás de la actividad, ataques similares han sido orquestados por múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (asimismo conocido como UAC-0195) y UNC4221 (asimismo conocido como UAC-0185), según informes de Microsoft y Google Threat Intelligence Group a principios del año pasado.
En diciembre de 2025, Gen Digital asimismo detalló otra campaña con el nombre en código GhostPairing, donde los ciberdelincuentes han recurrido a la función de vinculación de dispositivos en WhatsApp para tomar el control de las cuentas y probablemente hacerse suceder por usuarios o cometer fraude.
Para mantenerse protegidos contra la amenaza, se recomienda a los usuarios que se abstengan de interactuar con cuentas de soporte e ingresar su PIN de Signal como mensaje de texto. Una semirrecta de defensa crucial es habilitar el aislamiento de registro, que evita que usuarios no autorizados registren un número de teléfono en otro dispositivo. Todavía se recomienda revisar periódicamente la letanía de dispositivos vinculados y eliminar los dispositivos desconocidos.
El exposición se produce cuando el gobierno noruego acusó a los grupos de piratería respaldados por China, incluido Salt Typhoon, de irrumpir en varias organizaciones del país mediante la explotación de dispositivos de red vulnerables, al tiempo que llamó a Rusia por monitorear de cerca objetivos militares y actividades aliadas, y a Irán por custodiar a los disidentes.
Al afirmar que los servicios de inteligencia chinos intentan enganchar a ciudadanos noruegos para obtener entrada a datos clasificados, el Servicio de Seguridad de la Policía de Noruega (PST) señaló que luego se anima a estas fuentes a establecer sus propias redes de “fuentes humanas” anunciando puestos a tiempo parcial en bolsas de trabajo o acercándose a ellos a través de LinkedIn.
La agencia advirtió adicionalmente que China está explotando “sistemáticamente” los esfuerzos colaborativos de investigación y exposición para vigorizar sus propias capacidades de seguridad e inteligencia. Vale la pena señalar que la ley china exige que las vulnerabilidades de software identificadas por investigadores chinos se informen a las autoridades a más tardar dos días luego de su descubrimiento.
“Los actores iraníes de amenazas cibernéticas comprometen cuentas de correo electrónico, perfiles de redes sociales y computadoras privadas pertenecientes a disidentes para compilar información sobre ellos y sus redes”, dijo PST. “Estos actores tienen capacidades avanzadas y seguirán desarrollando sus métodos para resistir a sitio operaciones cada vez más selectivas e intrusivas contra personas en Noruega”.
La divulgación sigue a un aviso de CERT Polska, que evaluó que un comunidad de piratería de un estado-nación ruso llamado Static Tundra probablemente esté detrás de ataques cibernéticos coordinados dirigidos a más de 30 parques eólicos y fotovoltaicos, una empresa privada del sector manufacturero y una gran planta combinada de calor y energía (CHP) que suministra calor a casi medio millón de clientes en el país.
“En cada instalación afectada, estaba presente un dispositivo FortiGate, que servía como concentrador VPN y cortafuegos”, dijo. “En todos los casos, la interfaz VPN estuvo expuesta a Internet y permitió la autenticación de cuentas definidas en la configuración sin autenticación multifactor”.
