Se ha observado un colección de actividad de amenazas previamente desconocido que se hace tener lugar por la empresa eslovaca de ciberseguridad ESET como parte de ataques de phishing dirigidos a entidades ucranianas.
La campaña, detectada en mayo de 2025, es rastreada por el equipo de seguridad bajo el nombre de No comestibleOchotensedescribiéndolo como afiliado con Rusia.
“InedibleOchotense envió correos electrónicos de phishing y mensajes de texto de Signal, que contienen un enlace a un instalador troyanizado de ESET, a varias entidades ucranianas”, dijo ESET en su Crónica de actividad de APT del segundo trimestre de 2025 al tercer trimestre de 2025 compartido con The Hacker News.
Se evalúa que InedibleOchotense comparte superposiciones tácticas con una campaña documentada por EclecticIQ que implicó el despliegue de una puerta trasera indicación BACKORDER y por CERT-UA como UAC-0212, que describe como un subgrupo internamente del colección de piratería Sandworm (incluso conocido como APT44).
Si admisiblemente el mensaje de correo electrónico está escrito en ucraniano, ESET dijo que la primera cadena usa una palabra rusa, lo que probablemente indica un error tipográfico o de traducción. El correo electrónico, que pretende ser de ESET, afirma que su equipo de monitoreo detectó un proceso sospechoso asociado con su dirección de correo electrónico y que sus computadoras podrían estar en peligro.
La actividad es un intento de capitalizar el uso generalizado del software de ESET en el país y la reputación de su marca para engañar a los destinatarios para que instalen instaladores maliciosos alojados en dominios como esetsmart(.)com, esetscanner(.)com y esetremover(.)com.
El instalador está diseñado para ofrecer el ESET AV Remover permitido, cercano con una modificación de una puerta trasera de C# denominada Kalambur (incluso conocida como SUMBUR), que utiliza la red de anonimato Tor para comando y control. Igualmente es capaz de eliminar OpenSSH y habilitar el camino remoto a través del Protocolo de escritorio remoto (RDP) en el puerto 3389.
Vale la pena señalar que CERT-UA, en un noticia publicado el mes pasado, atribuyó una campaña casi idéntica a UAC-0125, otro subgrupo internamente de Sandworm.
Ataques de gusanos de arena en Ucrania
Sandworm, según ESET, ha seguido montando campañas destructivas en Ucrania, lanzando dos programas maliciosos de cepillado rastreados como ZEROLOT y Sting dirigidos a una universidad anónima en abril de 2025, seguidos del despliegue de múltiples variantes de malware de cepillado de datos dirigidos a los sectores oficial, energético, logístico y de cereales.
“Durante este período, observamos y confirmamos que el colección UAC-0099 realizó operaciones de camino iniciales y después transfirió objetivos validados a Sandworm para actividades de seguimiento”, dijo la compañía. “Estos ataques destructivos de Sandworm son un recordatorio de que los limpiadores siguen siendo una útil frecuente de los actores de amenazas alineados con Rusia en Ucrania”.
RomCom aprovecha el día 0 de WinRAR en ataques
Otro actor de amenazas destacado afiliado con Rusia que ha estado activo durante el período es RomCom (incluso conocido como Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu), que lanzó campañas de phishing a mediados de julio de 2025 que utilizaron como armamento una vulnerabilidad WinRAR (CVE-2025-8088, puntuación CVSS: 8,8) como parte de ataques dirigidos a empresas financieras, de fabricación, de defensa y de provisión en Europa y Canadá.
“Los intentos de explotación exitosos generaron varias puertas traseras utilizadas por el colección RomCom, específicamente una modificación de SnipBot (incluso conocido como SingleCamper o RomCom RAT 5.0), RustyClaw, y un agente Mythic”, dijo ESET.
En un perfil detallado del RomCom a finales de septiembre de 2025, AttackIQ caracterizó al colección de piratas informáticos por estar atento a los acontecimientos geopolíticos en torno a la extirpación en Ucrania y aprovecharlos para resistir a extremo actividades de casa recoleta de credenciales y exfiltración de datos probablemente en apoyo de los objetivos rusos.
“RomCom se desarrolló inicialmente como un malware central para delitos electrónicos, diseñado para solucionar el despliegue y la persistencia de cargas avíos maliciosas, permitiendo su integración en operaciones de ransomware destacadas y centradas en la trastorno”, dijo el investigador de seguridad Francis Guibernau. “RomCom pasó de ser un producto puramente impulsado por las ganancias a convertirse en una empresa de servicios públicos apalancada en operaciones de estados-nación”.
