Las empresas rusas han sido atacadas como parte de una campaña de phishing a gran escala que está diseñada para entregar un malware conocido llamado Darkwatchman.
Los objetivos de los ataques incluyen entidades en los medios de comunicación, turismo, finanzas y seguros, fabricación, venta minorista, energía, telecomunicaciones, transporte y sectores de biotecnología, dijo la compañía de seguridad cibernética rusa F6.
Se evalúa que la actividad es el trabajo de un grupo motivado financieramente llamado Hive0117, que ha sido atribuido por IBM X-Force a ataques dirigidos a usuarios en Lituania, Estonia y Rusia que abarcan sectores de telecomunicaciones, electrónicos e industriales.
Luego, en septiembre de 2023, el malware Darkwatchman se usó nuevamente en una campaña de phishing dirigida a las industrias de energía, finanzas, transporte y seguridad de software con sede en Rusia, Kazajstán, Letonia y Estonia.
Los bancos rusos, minoristas y mercados, operadores de telecomunicaciones, empresas agroindustriales, compañías de combustible y energía, negocios de logística y empresas de TI fueron marcados nuevamente en noviembre de 2023 con Darkwatchman utilizando señuelos con temas de entrega de mensajería.
Darkwatchman, un troyano de acceso remoto basado en JavaScript, es capaz de keylogging, recopilar información del sistema e implementar cargas útiles secundarias. Fue documentado por primera vez en diciembre de 2021.
«La naturaleza sin archivo del malware Darkwatchman, y su uso de JavaScript y un keylogger escrito en C#, así como la capacidad de eliminar trazas de su existencia en sistemas comprometidos cuando se les indica, son evidencia de capacidades algo sofisticadas», señaló IBM en 2023.
El último conjunto de ataques implica enviar correos electrónicos de phishing que contienen archivos maliciosos protegidos por contraseña que, una vez abiertos, ofrecen una variante de Darkwatchman con capacidades mejoradas para evadir la detección.
Ucrania atacada por el nuevo sheriff Backdoor
La divulgación se produce cuando IBM X-Force dijo que una entidad no especificada dentro del sector de defensa de Ucrania fue atacada en la primera mitad de 2024 con un trasero de Windows previamente indocumentado llamado Alguacil.
«El actor de amenaza utilizó un portal de noticias popular en Ucrania, UKR.NET, para organizar la puerta trasera del Sheriff», dijo el investigador de seguridad Golo Mühr en un informe publicado a fines de marzo de 2025. «La puerta trasera modular puede ejecutar comandos dirigidos por el actor, recopilar capturas de pantalla y exfiltrado de datos de víctimas de víctimas utilizando el API de almacenamiento de la nube de caída». «.
«El malware se centra en exfiltrar datos y tomar capturas de pantalla mientras mantiene un perfil bajo diseñado para compromisos prolongados».
Se sospecha que el sitio web puede haber sido violado para organizar el malware a principios de marzo de 2024. El sheriff está equipado para descargar y administrar múltiples componentes, incluido un módulo de captura de pantalla, con comandos y valores de configuración recibidos como comentarios de archivo zip.
«El acceso de un actor de amenaza al portal de noticias más grande de Ucrania los posicionaría para realizar una variedad de ataques de alto impacto y operar con una ofuscación mejorada», dijo Mühr. «En este incidente específico, el actor de amenaza puede haber abusado del dominio de confianza para organizar malware sin plantear sospechas».
La puerta trasera también viene equipada con una función de «suicidio» que, cuando se invoca de forma remota por el operador, cesa toda la actividad y elimina el directorio que contiene el malware y la carpeta en Dropbox utilizada para las comunicaciones de comando y control (C2).
IBM señaló que ciertos aspectos del malware se superponen con el del kazuar y la muleta de Turla, así como Prikormka de la Operación Groundbait y Cloudwizard de Bad Magic.
«Tanto Cloudwizard como Sheriff contienen una función ‘getSettings» https://thehackernews.com/ «get_settings’ para recuperar la configuración de cada módulo», dijo la compañía. «Cloudwizard, Prikormka y Sheriff comparten las mismas capturas de pantalla tomando intervalos de 15 minutos. Los módulos de listado de archivos de Cloudwizard y Prikormka se llaman ‘árbol’, que es el nombre que Sheriff usa para la exfiltración de una lista de archivos».
El descubrimiento de la puerta trasera sigue un informe del Servicio Estatal de Ucrania para Comunicaciones Especiales y Protección de la Información (SSSCIP), advertencia de un aumento del 48% en el número de incidentes en la segunda mitad de 2024 (2,576), en comparación con el período anterior de seis meses (1,739).
En total, se registraron 4.315 incidentes cibernéticos en 2024, frente a 1.350 en 2021, 2,194 en 2022 y 2,543 en 2023. El número de incidentes críticos y de alta severidad, por otro lado, cayó significativamente a 59, a una disminución de 1,048 en 2022 y 367 en 2023.
«Los piratas informáticos rusos están implementando activamente la automatización, empleando ataques de cadena de suministro para la infiltración a través de proveedores de software y combinando técnicas de espionaje y sabotaje», dijo SSSCIP. «El enfoque principal de los ataques es la colección de inteligencia que podría influir en la situación operativa en el frente. En particular, el adversario está apuntando a sistemas de conciencia situacionales y empresas de defensa especializadas».