(https://i.imgur.com/mnCtlLi.jpeg)
Actores amenazantes patrocinados por el Estado ruso han sido vinculados a una nueva y sofisticada serie de ataques de obtención de credenciales dirigidos contra individuos asociados a una agencia turca de investigación energética y nuclear, así como a personal relacionado con un think tank europeo, además de organizaciones en Macedonia del Norte y Uzbekistán.
La actividad ha sido atribuida al conocido grupo de ciberespionaje APT28, también rastreado como BlueDelta, un actor históricamente vinculado a la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU). Según un nuevo análisis del Insikt Group de Recorded Future, estas operaciones reflejan un esfuerzo sostenido y altamente dirigido para recopilar credenciales con valor estratégico.
Campañas de phishing sostenidas y altamente dirigidasRecorded Future describe estas operaciones como campañas "sostenidas" de robo de credenciales, observadas en distintos momentos de abril, junio, septiembre de 2025 y meses posteriores, dirigidas a un conjunto reducido pero cuidadosamente seleccionado de víctimas. A diferencia del phishing masivo, estas campañas se caracterizan por un alto grado de personalización y una ejecución técnica diseñada para evitar levantar sospechas.
Citar"El uso de material de señuelo en lengua turca y dirigido regionalmente sugiere que BlueDelta adaptó su contenido para aumentar su credibilidad entre audiencias profesionales y geográficas específicas", señaló Insikt Group.
Estas elecciones no son casuales y reflejan un interés persistente del aparato de inteligencia ruso en organizaciones vinculadas a la investigación energética, la cooperación en defensa y las redes de comunicación gubernamentales, todas ellas áreas alineadas con las prioridades estratégicas del GRU.
Páginas falsas que imitan servicios legítimosUno de los elementos más destacados de estas campañas es el uso de páginas de inicio de sesión falsas diseñadas para imitar con gran precisión servicios ampliamente utilizados, como:
- Microsoft Outlook Web Access (OWA)
- Google
- Portales VPN de Sophos
El objetivo es claro: engañar a usuarios profesionales para que introduzcan sus credenciales en entornos que aparentan ser completamente legítimos.
Una vez que la víctima introduce sus datos, ocurre un detalle clave que hace que el ataque sea especialmente efectivo: el usuario es redirigido automáticamente al sitio legítimo, lo que reduce drásticamente la probabilidad de que sospeche que ha sido víctima de un ataque.
Abuso de servicios legítimos para alojar la infraestructuraBlueDelta ha demostrado una fuerte dependencia de servicios legítimos y de bajo coste para alojar su infraestructura de phishing y exfiltración de datos. Entre los más utilizados se encuentran:
- Webhook[.]site / Webhook[.]InfinityFree
- Byet Internet Services
- ngrok
Estos servicios permiten a los atacantes alojar páginas de phishing desechables, recolectar credenciales robadas y gestionar redirecciones sin necesidad de mantener infraestructura propia, dificultando así la detección y atribución temprana.
Uso de documentos señuelo legítimos en PDFPara aumentar la credibilidad de las campañas, APT28 ha utilizado documentos PDF legítimos como señuelo, cuidadosamente seleccionados para alinearse con los intereses profesionales de las víctimas. Entre los archivos observados se incluyen:
- Una publicación del Gulf Research Center relacionada con la guerra Irán-Israel de junio de 2025
- Una rueda de prensa política de julio de 2025 que pedía un nuevo pacto para el Mediterráneo, publicada por el think tank climático ECCO
El uso de contenido real y relevante refuerza la confianza del usuario y aumenta significativamente la tasa de éxito del ataque.
Cadena de ataque: phishing altamente encadenado- La cadena de ataque observada sigue un flujo técnico bien definido:
- La víctima recibe un correo de phishing que contiene un enlace acortado
- Al hacer clic, el enlace redirige a un webhook[.]site, donde se muestra brevemente el documento señuelo durante aproximadamente dos segundos
- A continuación, la víctima es redirigida a un segundo webhook que aloja una página falsa de Microsoft OWA
- Esta página contiene un elemento oculto de formulario HTML y código JavaScript que:
- Registra el evento "page open"
- Envía las credenciales introducidas al endpoint del webhook
- Redirige finalmente al PDF legítimo alojado en la web real
Este flujo encadenado está diseñado para exfiltrar credenciales de forma silenciosa y minimizar cualquier indicio de actividad sospechosa.
Otras campañas recientes atribuidas a APT28Recorded Future identificó al menos tres campañas adicionales llevadas a cabo por BlueDelta:
- Junio de 2025: despliegue de una página falsa de restablecimiento de contraseñas de Sophos VPN, alojada en infraestructura de InfinityFree, utilizada para robar credenciales y redirigir a un portal legítimo de Sophos VPN perteneciente a un think tank de la UE
- Septiembre de 2025: uso de dominios InfinityFree para advertir falsamente sobre contraseñas caducadas, dirigido a una organización militar en Macedonia del Norte y a un integrador informático en Uzbekistán
- Abril de 2025: campaña que imitaba una página de restablecimiento de contraseña de Google, alojada en Byet Internet Services, con exfiltración de credenciales a través de ngrok
Una estrategia de bajo coste y alto impactoSegún Recorded Future, estas campañas ponen de relieve una estrategia deliberada del GRU basada en el uso de técnicas relativamente simples, pero altamente efectivas.
Citar"El abuso constante de BlueDelta sobre infraestructura legítima demuestra su dependencia de servicios desechables para alojar y retransmitir datos de credenciales", afirmó la empresa.
"Estas campañas subrayan el compromiso sostenido del GRU con la obtención de credenciales como un método de bajo coste y alto rendimiento para apoyar sus objetivos de inteligencia."
En fin...La actividad reciente de APT28 / BlueDelta confirma que el robo de credenciales sigue siendo una herramienta central del ciberespionaje estatal ruso. A través de campañas de phishing altamente dirigidas, uso inteligente de infraestructura legítima y señuelos cuidadosamente seleccionados, el grupo continúa comprometiendo cuentas críticas sin necesidad de exploits complejos.
Para las organizaciones en sectores estratégicos —energía, defensa, investigación y gobierno—, estas campañas refuerzan la necesidad de formación continua en concienciación de phishing, implementación de MFA resistente al phishing, y una vigilancia activa sobre dominios, redirecciones y servicios de alojamiento abusados.
Fuente: https://thehackernews.com/