La admisión de inteligencia químico (IA) por parte de los piratas informáticos rusos en ataques cibernéticos contra Ucrania alcanzó un nuevo nivel en el primer semestre de 2025 (primer semestre de 2025), dijo el Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSCIP) del país.
“Los piratas informáticos ahora lo emplean no sólo para ocasionar mensajes de phishing, sino que algunas de las muestras de malware que hemos analizado muestran signos claros de acaecer sido generados con IA, y los atacantes ciertamente no se detendrán allí”, dijo la agencia en un documentación publicado el miércoles.
SSSCIP dijo que se registraron 3.018 incidentes cibernéticos durante el período, frente a 2.575 en la segunda medio de 2024 (segundo semestre de 2024). Las autoridades locales y las entidades militares presenciaron un aumento de los ataques en comparación con el segundo semestre de 2024, mientras que los dirigidos a los sectores público y energético disminuyeron.
Un ataque trascendente observado involucró el uso de malware llamado WRECKSTEEL por parte de UAC-0219 en ataques dirigidos a organismos de la delegación estatal e instalaciones de infraestructura crítica en el país. Hay evidencia que sugiere que el malware de robo de datos PowerShell se desarrolló utilizando herramientas de inteligencia químico.
Algunas de las otras campañas registradas contra Ucrania se enumeran a continuación:
- Campañas de phishing orquestadas por UAC-0218 dirigidas a las fuerzas de defensa para entregar HOMESTEEL utilizando archivos RAR con trampas explosivas.
- Campañas de phishing orquestadas por UAC-0226 dirigidas a organizaciones involucradas en el expansión de innovaciones en el sector industrial de defensa, organismos gubernamentales locales, unidades militares y agencias de aplicación de la ley para distribuir un caco llamado GIFTEDCROOK
- Campañas de phishing orquestadas por UAC-0227 dirigidas a autoridades locales, instalaciones de infraestructura crítica y centros territoriales de sustitución y apoyo social (TRC y SSC) que aprovechan tácticas de estilo ClickFix o archivos adjuntos SVG para distribuir ladrones como Amatera Stealer y Strela Stealer.
- Campañas de phishing orquestadas por UAC-0125, un subgrupo vinculado a Sandworm, que enviaba mensajes de correo electrónico que contenían enlaces a un sitio web haciéndose tener lugar por ESET para entregar una puerta trasera basada en C# señal Kalambur (igualmente conocida como SUMBUR) bajo la apariencia de un software de matanza de amenazas.
SSSCIP dijo que igualmente observó a los actores APT28 (igualmente conocido como UAC-0001) vinculados a Rusia armando fallas de secuencias de comandos entre sitios en Roundcube y (CVE-2023-43770, CVE-2024-37383 y CVE-2025-49113) y Zimbra (CVE-2024-27443 y CVE-2025-27915) Software de correo web para realizar ataques sin clic.
“Al explotar tales vulnerabilidades, los atacantes generalmente inyectaban código desconfiado que, a través de la API de Roundcube o Zimbra, obtenía entrada a credenciales, listas de contactos y filtros configurados para reenviar todos los correos electrónicos a buzones controlados por los atacantes”, dijo SSSCIP.
“Otro método para robar credenciales utilizando estas vulnerabilidades fue crear bloques HTML ocultos (visibilidad: oculto) con campos de ingreso de inicio de sesión y contraseña, donde se estableció el atributo autocompletar=”on”. Esto permitió que los campos se llenaran automáticamente con datos almacenados en el navegador, que luego se exfiltraban”.
La agencia igualmente reveló que Rusia continúa participando en una lucha híbrida, sincronizando sus operaciones cibernéticas cercano con ataques cinéticos en el campo de batalla, con el montón Sandworm (UAC-0002) apuntando a organizaciones en los sectores de energía, defensa, proveedores de servicios de Internet e investigación.
Adicionalmente, varios grupos de amenazas dirigidos a Ucrania han recurrido al injusticia de servicios legítimos, como Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io, para encajar malware o páginas de phishing, o convertirlas en un canal de exfiltración de datos.
“El uso de bienes legítimos en confín con fines maliciosos no es una táctica nueva”, dijo SSSCIP. “Sin bloqueo, el número de plataformas de este tipo explotadas por piratas informáticos rusos ha aumentado constantemente en los últimos tiempos”.
