El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña dirigida a gobiernos e instituciones sanitarias municipales, principalmente clínicas y hospitales de emergencia, para distribuir malware capaz de robar datos confidenciales de los navegadores web basados en Chromium y de WhatsApp.
La actividad, que se observó entre marzo y abril de 2026, se ha atribuido a un asociación de amenazas denominado UAC-0247. Los orígenes de la campaña se desconocen actualmente.
Según CERT-UA, el punto de partida de la cautiverio de ataque es un mensaje de correo electrónico que dice ser una propuesta de ayuda humanitaria, instando a los destinatarios a hacer clic en un enlace que redirige a un sitio web probado comprometido a través de una vulnerabilidad de secuencias de comandos entre sitios (XSS) o un sitio infiel creado con la ayuda de herramientas de inteligencia sintético (IA).
Independientemente de cuál sea el sitio, el objetivo es descargar y ejecutar un archivo de paso directo de Windows (LNK), que luego ejecuta una aplicación HTML remota (HTA) usando la utilidad nativa de Windows, “mshta.exe”. El archivo HTA, por su parte, muestra una forma de señuelo para desviar la atención de la víctima, al mismo tiempo que recupera un binario responsable de inyectar código shell en un proceso probado (por ejemplo, “runtimeBroker.exe”).
“Al mismo tiempo, las campañas recientes han registrado el uso de un cargador de dos etapas, la segunda etapa del cual se implementa utilizando un formato de archivo ejecutable propietario (con soporte completo para secciones de código y datos, importación de funciones de bibliotecas dinámicas y reubicación), y la carga útil final se comprime y sigla adicionalmente”, dijo CERT-UA.
Uno de los etapas es una útil indicación TCP Reverse Shell o su equivalente, rastreada como RAVENSHELL, que establece una conexión TCP con un servidor de establecimiento para acoger comandos para su ejecución en el host usando “cmd.exe”.
Asimismo se descarga en la máquina infectada una clan de malware denominada AGINGFLY y un script de PowerShell denominado SILENTLOOP que viene con varias funciones para ejecutar comandos, modernizar automáticamente la configuración y obtener la dirección IP contemporáneo del servidor de establecimiento de un canal de Telegram, y acogerse a mecanismos alternativos para determinar la dirección de comando y control (C2).
Desarrollado con C#, AGINGFLY está diseñado para proporcionar control remoto de los sistemas afectados. Se comunica con un servidor C2 mediante WebSockets para obtener comandos que le permiten ejecutar comandos, iniciar un registrador de teclas, descargar archivos y ejecutar cargas bártulos adicionales.
Una investigación de rodeando de una docena de incidentes ha revelado que estos ataques facilitan el inspección, el movimiento anexo y el robo de credenciales y otros datos confidenciales de WhatsApp y los navegadores basados en Chromium. Estose logra mediante la implementación de varias herramientas de código amplio, como las que se enumeran a continuación:
- ChromElevator, un software diseñado para eludir las protecciones de secreto vinculado a aplicaciones (ABE) de Chromium y compendiar cookies y contraseñas guardadas
- ZAPiXDESK, una útil de cuna forense para descifrar bases de datos locales para WhatsApp Web
- RustScan, un escáner de red
- Ligolo-Ng, una utilidad ligera para establecer túneles a partir de conexiones TCP/TLS inversas
- Chisel, una útil para tunelizar el tráfico de red a través de TCP/UDP
- XMRig, un minero de criptomonedas
La agencia dijo que hay evidencia que sugiere que representantes de las Fuerzas de Defensa de Ucrania todavía podrían activo sido atacados como parte de la campaña. Esto se friso en la distribución de archivos ZIP maliciosos a través de Signal que están diseñados para eliminar AGINGFLY mediante la técnica de carga anexo de DLL.
Para mitigar el aventura asociado con la amenaza y minimizar la superficie de ataque, se recomienda restringir la ejecución de archivos LNK, HTA y JS, anejo con utilidades legítimas como “mshta.exe”, “powershell.exe” y “wscript.exe”.
