Un actor de amenaza que posiblemente de origen ruso se ha atribuido a un nuevo conjunto de ataques dirigidos al sector energético en Kazajstán.
La actividad, la Operación Codenamen Barrelfire, está vinculada a un nuevo familia de amenazas rastreado por Seqrite Labs como ruidoso oso. El actor de amenaza ha estado activo desde al menos abril de 2025.
“La campaña está dirigida a los empleados de Kazmunaigas o KMG, donde la entidad de amenaza entregó un documento traidor relacionado con el unidad de TI de KMG, imitando la comunicación interna oficial y aprovechando temas como actualizaciones de políticas, procedimientos de certificación interna y ajustes salariales”, dijo el investigador de seguridad Subhajeet Singha.
La sujeción de infecciones comienza con un correo electrónico de phishing que contiene un archivo adjunto de cremallera, que incluye un descargador de Modernización de Windows (LNK), un documento de señuelo relacionado con Kazmunaigas y un archivo ReadMe.txt con instrucciones escritas tanto en ruso como en Kazajus para ejecutar un software llamado “Kazmunaygaz_viewer”.
El correo electrónico, según la compañía de seguridad cibernética, se envió desde una dirección de correo electrónico comprometida de un individuo que trabaja en el Área de Finanzas de Kazmunaigas y se dirigió a otros empleados de la empresa en mayo de 2025.
La carga útil del archivo LNK está diseñada para soltar cargas enseres adicionales, incluida una secuencia de comandos de lotes maliciosos que allana el camino para un cargador de PowerShell denominado Downshell. Los ataques culminan con el despliegue de un implante basado en DLL, un binario de 64 bits que puede ejecutar ShellCode para propalar una capa inversa.
Un exploración posterior de la infraestructura del actor de amenaza ha revelado que está organizado en el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia Aeza Group, que fue sancionado por los Estados Unidos en julio de 2025 para permitir actividades maliciosas.
El incremento se produce cuando Harfanglab vinculó a un actor de amenaza encuadrado en Bielorrusia conocido como escritor trasgo (además conocido como Frostyneighbor o UNC1151) con campañas dirigidas a Ucrania y Polonia desde abril de 2025 con archivos de Zip y Rar Rogue que tienen como objetivo resumir información sobre sistemas comprometidos e implementar implantes para una viejo explotación.
“Estos archivos contienen hojas de cálculo XLS con una macro VBA que cae y carga una DLL”, dijo la compañía francesa de ciberseguridad. “Este zaguero es responsable de resumir información sobre el sistema comprometido y recuperar malware de la próxima etapa de un servidor de comando y control (C2)”.
Se ha antagónico que las iteraciones posteriores de la campaña escriben un archivo de gobierno de Microsoft (CAB) cercano con el senda LNK para extraer y ejecutar la DLL desde el archivo. La DLL luego procede a realizar el gratitud auténtico ayer de dejar caer el malware de la subsiguiente etapa del servidor forastero.
Los ataques dirigidos a Polonia, por otro banda, modifican la sujeción de ataque para usar Slack como un mecanismo de baliza y canal de exfiltración de datos, descargando a cambio una carga útil de la segunda etapa que establece el contacto con el Pesthacks de dominio (.) UCI.
Al menos en un caso, la DLL cayó a través de la hoja de cálculo de Excel en macro se usa para cargar un baliza de ataque de cobalto para simplificar una viejo actividad posterior a la explotación.
“Estos cambios menores sugieren que UAC-0057 puede estar explorando alternativas, en un probable intento de trabajar en torno a la detección, pero prioriza la continuidad o incremento de sus operaciones sobre sigilitud y sofisticación”, dijo Harfanglab.
Ataques cibernéticos reportados contra Rusia
Los hallazgos se producen en medio de los renovados ataques de perjuicio de Oldgremlin contra las empresas rusas en la primera centro de 2025, apuntando a hasta ocho grandes empresas industriales nacionales utilizando campañas de correo electrónico de phishing.
Las intrusiones, según Kaspersky, implicaron el uso de la técnica de traer su propio regulador delicado (BYOVD) para deshabilitar las soluciones de seguridad en las computadoras de las víctimas y el intérprete verdadero de nodo.js para ejecutar scripts maliciosos.
Los ataques de phishing dirigidos a Rusia además han entregado un nuevo robador de información llamado Phantom Stealer, que se base en un Stealer de origen descubierto con nombre en código STALERIUM, para resumir una amplia viso de información confidencial utilizando cebos de correo electrónico relacionados con el contenido y los pagos de los adultos. Además comparte superposiciones con otra rama de Stealerium conocida como Warp Stealer.
Según F6, Phantom Stealer además hereda el módulo “porno de pornetector” de Stealerium que captura las capturas de pantalla de la cámara web cuando los usuarios visitan sitios web pornográficos manteniendo pestañas en la ventana del navegador activo y si el título incluye una relación configurable de términos como pornografía y sexo, entre otros.
“Es probable que esto se use más tarde para ‘Sextortion'”, dijo Proofpoint en su propio exploración del malware. “Si correctamente esta característica no es novedosa entre el malware del delito cibernético, no se observa a menudo”.
En los últimos meses, las organizaciones rusas además han estado en el extremo receptor de los ataques perpetrados por grupos de piratería rastreados como Atlas en la cúmulo, Phantomcore y Scaly Wolf para cosechar información confidencial y entregar cargas enseres adicionales utilizando familias de malware como VBShower, Phantomrat y Phantomrshell.
Otro clúster de actividad involucra un nuevo malware Android que se disfraza de una utensilio antivirus creada por la Agencia Federal de Servicios de Seguridad de Rusia (FSB) para destacar a los representantes de las empresas rusas. Las aplicaciones llevan nombres como Security_FSB, фс (ruso para FSB), y Guardcb, el zaguero de los cuales es un intento de acaecer como el Asiento Central de la Pacto de Rusia.
Descubierto por primera vez en enero de 2025, el malware exfiltra los datos de las aplicaciones de Messenger y el navegador, transmite desde la cámara del teléfono y registre las teclas de registro buscando permisos extensos para penetrar a mensajes SMS, ubicación, audio, cámara. Además solicita la ejecución en segundo plano, los derechos del administrador del dispositivo y los servicios de accesibilidad.
“La interfaz de la aplicación proporciona solo un idioma: ruso”, dijo Doctor Web. “Por lo tanto, el malware se centra por completo en los usuarios rusos. La puerta trasera además utiliza servicios de accesibilidad para acogerse de ser eliminado si recibe el comando correspondiente de los actores de amenaza”.
