El actor de amenazas patrocinado por el estado ruso conocido como APT29 se ha vinculado a una campaña de phishing avanzadilla que está dirigida a entidades diplomáticas en toda Europa con una nueva modificación de Wineloader y un cargador de malware previamente no concreto en el código Grapeloader.
“Si acertadamente la modificación mejorada de Wineloader sigue siendo una puerta trasera modular utilizada en etapas posteriores, Grapeloader es una utensilio de escena original recientemente observada utilizada para huellas digitales, persistencia y entrega de carga útil”, dijo Check Point en un exploración técnico publicado a principios de esta semana.
“A pesar de los diferentes roles, tanto comparten similitudes en la estructura del código, la ofuscación y el descifrado de cuerdas. El grudidor refina las técnicas anti-análisis de Wineloader al tiempo que introduce métodos de sigilo más avanzados”.
El uso de Wineloader fue documentado por primera vez por Zscaler AMENAYLABZ en febrero de 2024, con los ataques que aprovechan los señuelos de degustación de vinos para infectar a los sistemas de personal diplomático.
Mientras que la campaña se atribuyó por primera vez a un clúster de actividad de amenazas llamado Spikedwine, un exploración posterior de Mandiant, propiedad de Google, lo conectó con el corro de piratería APT29 (además conocido como Cozy Bear o Midnight Blizzard), que está afiliado al Servicio de Inteligencia Extranjera (SVR) de Rusia.
El final conjunto de ataques implica dirigir invitaciones por correo electrónico que se hace advenir por un Empleo Europeo de Asuntos Exteriores no especificados a los objetivos para eventos de degustación de vinos, convenciéndolos de hacer clic en un enlace que desencadena el despliegue de Grapeloader por medio de un archivo de cañas con malware (“Wine.zip”). Los correos electrónicos se enviaron desde los dominios Bakenhof (.) Com y Silry (.) Com.
Se dice que la campaña ha señalado principalmente múltiples países europeos con un enfoque específico en los ministerios de asuntos exteriores, así como en las embajadas de otros países en Europa. Hay indicios de que los diplomáticos con sede en el Medio Oriente además pueden acaecer sido atacados.
El archivo ZIP contiene tres archivos: A DLL (“AppVISVSubSystems64.dll”) que sirve como una dependencia para ejecutar un ejecutable genuino de PowerPoint (“Wine.exe”), que luego se explota para la carga contiguo de DLL para divulgar un DLL zorro (“PPCore.dll”). El malware diástole funciona como un cargador (es sostener, Grapeloader) para soltar la carga útil principal.
El malware deseo persistencia al modificar el registro de Windows para certificar que el ejecutable “Wine.exe” se inicie cada vez que se reinicia el sistema.
Grapeloader, encima de incorporar técnicas anti-análisis como la ofuscación de cadenas y la resolución de API de tiempo de ejecución, está diseñado para compilar información básica sobre el host infectado y exfiltrarse a un servidor forastero para recuperar el código de caparazón de la posterior etapa.
Aunque la naturaleza exacta de la carga útil no está clara, Check Point dijo que identificó artefactos de Wineloader actualizados cargados en la plataforma Virustotal con marcas de tiempo de compilación que coinciden con las de “AppvisVSVSubSystems64.dll”.
“Con esta información, y el hecho de que Grapeloader reemplazó a Rootsaw, un descargador de HTA utilizado en campañas pasadas para ofrecer a Wineloader, creemos que Grapeloader finalmente conduce al despliegue de Wineloader”, dijo la compañía de seguridad cibernética.
Los hallazgos se producen cuando Harfanglab detalló el malware Pterolnk VBScript de Gamaredon, que es utilizado por el actor de amenaza rusa para infectar todas las unidades USB conectadas con versiones VBScript o PowerShell del software zorro. Las muestras de Pterolnk se cargaron a Virustotal entre diciembre de 2024 y febrero de 2025 desde Ucrania, un objetivo principal del corro de piratería.
“Ambas herramientas, cuando se implementan en un sistema, intentan repetidamente detectar unidades USB conectadas, para soltar archivos LNK y, en algunos casos, además una copia de Pterolnk en ellas”, señaló ESET en septiembre de 2024. “Haga clic en un archivo LNK puede, dependiendo de la traducción particular de Pterolnk que lo creó directamente, ya sea que se recupere directamente en la etapa de A C2, o exente en un ser servidor, o exente a un servidor, o sea execuente de un servidor PTEROLNK.
La firma de ciberseguridad francesa describió los archivos Pterolnk VBScript como fuertemente ofuscados y responsables de construir dinámicamente un descargador y un cuentagotas LNK durante la ejecución. Si acertadamente el descargador está programado para ejecutarse cada 3 minutos, el script LNK Dropper está configurado para ejecutarse cada 9 minutos.
El descargador emplea una estructura modular de varias etapas para entrar a un servidor remoto y obtener malware adicional. El cuentagotas LNK, por otro banda, se propaga a través de unidades locales y de red, reemplazando los archivos .pdf, .docx y .xlsx en la raíz del directorio con contrapartes de entrada directo engañoso y ocultando los archivos originales. Estos atajos, cuando se lanzan, están diseñados para ejecutar Pterolnk en su emplazamiento.
“Los scripts están diseñados para permitir flexibilidad para sus operadores, lo que permite una viable modificación de parámetros como nombres de archivos y rutas, mecanismos de persistencia (claves de registro y tareas programadas) y razonamiento de detección para soluciones de seguridad en el sistema de destino”, dijo Harfanglab.
Vale la pena señalar que el descargador y el cuentagotas de LNK se refieren a las mismas dos cargas bártulos que el equipo de cazadores de amenazas de Symantec, parte de Broadcom, revelado a principios de este mes como parte de una sujeción de ataque que distribuye una traducción actualizada del Gammteel Stealer –
- Ntuser.dat.tmcontainer0000000000000000000001.regtrans-ms (descargador)
- Ntuser.dat.tmcontainer0000000000000000000002.regtrans-ms (cuentagotas LNK)
“Gamaredon opera como un componente crítico de la logística de operaciones cibernéticas de Rusia, particularmente en su exterminio en curso con Ucrania”, dijo la compañía. “La efectividad de Gamaredon no se encuentra en la sofisticación técnica sino en la adaptabilidad táctica”.
“Su modus operandi combina campañas de vara agresivas, un rápido despliegue de malware personalizado muy ofuscado e infraestructura C2 redundante. El corro prioriza el impacto operante sobre el sigilo, ejemplificados al señalar sus DDR a dominios de larga data vinculados públicamente a sus operaciones anteriores”.
