El grupo de ciberespionaje ruso Sandworm Dirigido a usuarios ucranianos Windows. Propaga troyanos en activadores KMS y falsas actualizaciones.
Estos ataques comenzaron probablemente a finales de 2023. Analistas EclecticIQ los relacionan con los hackers de Sandworm basándose en la duplicación de infraestructuras, la coherencia de tácticas, métodos y procedimientos, y el uso frecuente de cuentas de ProtonMail para registrar dominios utilizados en los ataques.
Los atacantes también utilizaron el descargador BACKORDER para desplegar el malware DarkCrystal RAT (DcRAT) y «caracteres que hacen referencia al entorno de compilación en ruso».
EclecticIQ identificó siete campañas de distribución de malware asociadas al mismo grupo de actividad maliciosa, cada una de las cuales utilizaba señuelos y procedimientos similares. El 12 de enero de 2025, los analistas observaron víctimas infectadas con el troyano de acceso remoto DcRAT en un ataque de robo de datos que utilizaba un dominio con errores.
Una vez desplegada en el dispositivo de la víctima, la falsa herramienta de activación KMS recrea una falsa interfaz de activación de Windows, instala un descargador de malware y desactiva Windows Defender en segundo plano, tras lo cual se descarga el malware principal de la RAT.
El objetivo final de los ataques es recopilar información confidencial de los ordenadores infectados y transferirla a servidores controlados por los atacantes. El malware guarda pulsaciones de teclas, cookies del navegador, historial del navegador, credenciales guardadas, contraseñas FTP, información del sistema y capturas de pantalla.
El uso de activadores de Windows maliciosos por parte de Sandworm se debió probablemente al enorme potencial de ataques debido al gran uso de software pirata en Ucrania, incluso en el sector público.
«Muchos usuarios, incluyendo empresas y organizaciones críticas, han recurrido a software pirata de fuentes no fiables, proporcionando a adversarios como Sandworm (APT44) una excelente oportunidad para inyectar malware en aplicaciones ampliamente utilizadas. Estas tácticas permiten el espionaje a gran escala, el robo de datos y el compromiso de la red que amenazan directamente la seguridad nacional de Ucrania, la infraestructura crítica y la resiliencia del sector privado,» dijo EclecticIQ.
Sandworm (también conocido como UAC-0113, APT44 y Seashell Blizzard) es un grupo de hackers que lleva activo al menos desde 2009 y forma parte de la unidad militar 74455 de la Dirección Principal de Inteligencia (GRU), la agencia de inteligencia militar rusa. El informe de EclecticIQ incluye un análisis detallado de los ataques y del software.
Fuente: BleepingComputer
Spelling error report
The following text will be sent to our editors: