(https://i.imgur.com/dImvVEs.jpeg)
Amazon anunció la detección e interrupción de una sofisticada campaña cibernética de abrevadero atribuida a APT29, también conocido como Cozy Bear, un grupo de amenazas persistentes avanzadas (APT) vinculado al Servicio de Inteligencia Exterior de Rusia (SVR). Esta operación, descrita como "oportunista" por la compañía, forma parte de los continuos esfuerzos del colectivo por robar credenciales, infiltrarse en sistemas corporativos y recopilar inteligencia sensible.
Según explicó CJ Moses, director de seguridad de la información de Amazon, los atacantes comprometieron varios sitios web legítimos para redirigir a los visitantes hacia infraestructura maliciosa. El objetivo era engañar a los usuarios y lograr que autorizaran dispositivos controlados por los atacantes a través del flujo de autenticación de código de dispositivo de Microsoft, un mecanismo de seguridad diseñado originalmente para vincular dispositivos a cuentas de forma legítima.
¿Quién es APT29?APT29 es uno de los grupos de ciberespionaje más conocidos y activos del mundo. Ha recibido múltiples alias en la industria de la ciberseguridad, incluidos BlueBravo, Cloaked Ursa, Midnight Blizzard, The Dukes y Cozy Bear. Sus operaciones se remontan a más de una década y han estado relacionadas con ataques de alto impacto contra instituciones gubernamentales, infraestructuras críticas y compañías tecnológicas.
El grupo, patrocinado por el Estado ruso, mantiene como principal objetivo la recolección de inteligencia estratégica. En meses recientes, se le ha vinculado a ataques contra entidades ucranianas utilizando archivos maliciosos de configuración de Protocolo de Escritorio Remoto (RDP), además de sofisticadas campañas de phishing dirigidas contra usuarios de Microsoft 365.
El ataque detectado por AmazonEn esta ocasión, la campaña consistió en comprometer varios sitios web legítimos e inyectar JavaScript malicioso. Alrededor del 10% de los visitantes eran redirigidos hacia dominios controlados por APT29, como findcloudflare[.]com, que imitaban las páginas de seguridad de Cloudflare para generar confianza.
La táctica buscaba que las víctimas introdujeran un código de dispositivo legítimo generado por los atacantes en una página de inicio de sesión de Microsoft. Si la víctima completaba el proceso, el grupo obtenía acceso completo a su cuenta de Microsoft, incluidos correos electrónicos, documentos y otros datos confidenciales.
Este método fue descrito por Microsoft y Volexity en febrero de 2025, y subraya la capacidad del grupo para aprovechar funciones legítimas de seguridad en beneficio propio.
Técnicas avanzadas de evasiónLa campaña interrumpida por Amazon no solo mostró la agresividad de APT29, sino también su nivel de sofisticación técnica. Entre las tácticas detectadas se incluyen:
- Codificación en Base64 para ocultar el código malicioso dentro de los sitios comprometidos.
- Uso de cookies personalizadas para evitar redireccionar al mismo visitante más de una vez y así reducir las posibilidades de detección.
- Rotación de infraestructura maliciosa, cambiando rápidamente a nuevos servidores y dominios cuando los anteriores eran bloqueados.
Amazon confirmó que, pese a los intentos del grupo de trasladar su infraestructura desde AWS hacia otros proveedores de nube, su equipo de seguridad continuó monitoreando, rastreando e interrumpiendo las operaciones. Incluso después de ser bloqueados, los atacantes registraron nuevos dominios como cloudflare.redirectpartners[.]com, en un esfuerzo por mantener activa la campaña.
Contexto y evolución de APT29 en 2025Este no es el primer incidente reciente atribuido al grupo. En junio de 2025, Google alertó sobre una campaña altamente dirigida en la que un colectivo afiliado a APT29, identificado como UNC6293, explotaba la función de contraseñas específicas de aplicación de Google para acceder de manera ilícita a correos electrónicos de sus víctimas.
Con esta nueva operación, APT29 demuestra una clara evolución en sus tácticas:
- Pasó del phishing clásico al uso de métodos más avanzados como el phishing de código de dispositivo.
- Amplió el espectro de sus ataques mediante campañas de abrevadero, aumentando las probabilidades de comprometer objetivos relevantes.
- Consolidó su reputación como uno de los actores más persistentes en el ámbito del ciberespionaje global.
Importancia para empresas y usuarios- La campaña frustrada por Amazon deja varias lecciones para el mundo corporativo y los usuarios comunes:
- La cadena de confianza digital es frágil: incluso sitios web legítimos pueden ser comprometidos e infectados con código malicioso.
- Los atacantes explotan mecanismos de seguridad legítimos: como el flujo de autenticación de Microsoft o las contraseñas específicas de Google.
- La detección y respuesta temprana es crítica: la intervención de equipos de inteligencia como el de Amazon evitó que la campaña alcanzara un mayor impacto.
Las organizaciones deben reforzar sus medidas de ciberseguridad con monitoreo de tráfico web, autenticación multifactor (MFA), auditorías continuas y concienciación en seguridad para mitigar ataques similares.
En fin, la interrupción de esta campaña subraya la evolución constante de APT29 y su capacidad de adaptación frente a las defensas de gigantes tecnológicos como Microsoft, Google y Amazon. Si bien la operación fue frustrada, la actividad del grupo refleja la creciente sofisticación de los actores de ciberespionaje patrocinados por Estados.
La detección temprana y la cooperación entre empresas tecnológicas serán esenciales para proteger a organizaciones y usuarios frente a estas amenazas en un escenario donde la ciberguerra y el espionaje digital juegan un papel estratégico cada vez más decisivo.
Fuente: https://thehackernews.com/