Los actores de amenazas patrocinados por el Estado ruso han sido vinculados a una nueva serie de ataques de cosecha de credenciales dirigidos a personas asociadas con una agencia turca de investigación energética y nuclear, así como a personal afiliado a un clase de expertos europeo y a organizaciones en Macedonia del Ártico y Uzbekistán.
La actividad se ha atribuido a APT28 (todavía conocido como BlueDelta), que se atribuyó a una campaña “sostenida” de cosecha de credenciales dirigida a usuarios de UKR(.)net el mes pasado. APT28 está asociado con la Dirección Principal del Estado Anciano de las Fuerzas Armadas de la Liga de Rusia (GRU).
“El uso de material señuelo en idioma turco y dirigido a regiones regionales sugiere que BlueDelta adaptó su contenido para aumentar la credibilidad entre audiencias profesionales y geográficas específicas”, dijo Insikt Group de Recorded Future. “Estas selecciones reflejan un interés continuo en organizaciones relacionadas con la investigación energética, la cooperación en defensa y las redes de comunicación gubernamentales relevantes para las prioridades de la inteligencia rusa”.
La empresa de ciberseguridad describió los ataques como dirigidos a un conjunto pequeño pero desigual de víctimas en febrero y septiembre de 2025, y la campaña aprovechó páginas de inicio de sesión falsas diseñadas para parecerse a servicios populares como Microsoft Outlook Web Access (OWA), Google y los portales VPN de Sophos.
Los esfuerzos son notables por el hecho de que los usuarios desprevenidos son redirigidos a sitios legítimos a posteriori de ingresar las credenciales en las páginas de destino falsas, evitando así ocasionar señales de alerta. Todavía se ha descubierto que las campañas se basan en gran medida en servicios como Webhook(.)site, InfinityFree, Byet Internet Services y ngrok para penetrar páginas de phishing, filtrar datos robados y permitir redirecciones.
En un nuevo intento de darles un barniz de licitud, se dice que los actores de la amenaza utilizaron documentos PDF legítimos como señuelo, incluida una publicación del Centro de Investigación del Cala relacionada con la aniquilamiento entre Irán e Israel de junio de 2025 y un referencia político de julio de 2025 en el que se pedía un nuevo pacto para el Mediterráneo publicado por el clase de expertos sobre cambio climático ECCO.
La condena de ataque comienza con un correo electrónico de phishing que contiene un enlace acortado que, al hacer clic, redirige a las víctimas a otro enlace alojado en el sitio webhook(.), que muestra brevemente el documento señuelo durante unos dos segundos antiguamente de redirigir a un segundo sitio webhook(.) que aloja una página de inicio de sesión falsificada de Microsoft OWA.
En el interior de esta página hay un punto de formulario HTML oculto que almacena la URL del sitio webhook(.) y utiliza JavaScript para despachar un
baliza de “página abierta”, transmite las credenciales enviadas al punto final del webhook y, en última instancia, redirige de nuevo al PDF alojado en el sitio web verdadero.
Todavía se ha observado a APT28 realizando otras tres campañas:
- Una campaña de junio de 2025 que implementó una página de cosecha de credenciales que imitaba una página de restablecimiento de contraseña de Sophos VPN alojada en una infraestructura proporcionada por InfinityFree para recoger las credenciales ingresadas en el formulario y redirigir a las víctimas a un portal seguro de Sophos VPN que pertenece a un clase de expertos desconocido de la UE.
- Una campaña de septiembre de 2025 que utilizó páginas de cosecha de credenciales alojadas en dominios InfinityFree para advertir falsamente a los usuarios sobre contraseñas caducadas para engañarlos para que ingresaran sus credenciales y redirigirlos a una página de inicio de sesión legítima asociada con una estructura marcial en la República de Macedonia del Ártico y un integrador de TI con sede en Uzbekistán.
- Una campaña de abril de 2025 que utilizó una página falsa de restablecimiento de contraseña de Google alojada en Byet Internet Services para compilar las credenciales de las víctimas y filtrarlas a una URL ngrok.
“El despotismo constante por parte de BlueDelta de la infraestructura legítima de servicios de Internet demuestra la continua dependencia del clase de servicios desechables para penetrar y transmitir datos de credenciales”, dijo la compañía propiedad de Mastercard. “Estas campañas subrayan el compromiso sostenido del GRU con la cosecha de credenciales como un método de bajo costo y parada rendimiento para compilar información que respalde los objetivos de la inteligencia rusa”.
