Los actores de amenazas patrocinados por el Estado ruso han sido vinculados a una nueva serie de ataques de recolección de credenciales dirigidos a personas asociadas con una agencia turca de investigación energética y nuclear, así como a personal afiliado a un grupo de expertos europeo y a organizaciones en Macedonia del Norte y Uzbekistán.
La actividad se ha atribuido a APT28 (también conocido como BlueDelta), que se atribuyó a una campaña «sostenida» de recolección de credenciales dirigida a usuarios de UKR(.)net el mes pasado. APT28 está asociado con la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU).
«El uso de material señuelo en idioma turco y dirigido a regiones regionales sugiere que BlueDelta adaptó su contenido para aumentar la credibilidad entre audiencias profesionales y geográficas específicas», dijo Insikt Group de Recorded Future. «Estas selecciones reflejan un interés continuo en organizaciones relacionadas con la investigación energética, la cooperación en defensa y las redes de comunicación gubernamentales relevantes para las prioridades de la inteligencia rusa».
La empresa de ciberseguridad describió los ataques como dirigidos a un conjunto pequeño pero distinto de víctimas en febrero y septiembre de 2025, y la campaña aprovechó páginas de inicio de sesión falsas diseñadas para parecerse a servicios populares como Microsoft Outlook Web Access (OWA), Google y los portales VPN de Sophos.
Los esfuerzos son notables por el hecho de que los usuarios desprevenidos son redirigidos a sitios legítimos después de ingresar las credenciales en las páginas de destino falsas, evitando así generar señales de alerta. También se ha descubierto que las campañas se basan en gran medida en servicios como Webhook(.)site, InfinityFree, Byet Internet Services y ngrok para alojar páginas de phishing, filtrar datos robados y permitir redirecciones.
En un nuevo intento de darles un barniz de legitimidad, se dice que los actores de la amenaza utilizaron documentos PDF legítimos como señuelo, incluida una publicación del Centro de Investigación del Golfo relacionada con la guerra entre Irán e Israel de junio de 2025 y un informe político de julio de 2025 en el que se pedía un nuevo pacto para el Mediterráneo publicado por el grupo de expertos sobre cambio climático ECCO.
La cadena de ataque comienza con un correo electrónico de phishing que contiene un enlace acortado que, al hacer clic, redirige a las víctimas a otro enlace alojado en el sitio webhook(.), que muestra brevemente el documento señuelo durante unos dos segundos antes de redirigir a un segundo sitio webhook(.) que aloja una página de inicio de sesión falsificada de Microsoft OWA.
Dentro de esta página hay un elemento de formulario HTML oculto que almacena la URL del sitio webhook(.) y utiliza JavaScript para enviar un
baliza de «página abierta», transmite las credenciales enviadas al punto final del webhook y, en última instancia, redirige de nuevo al PDF alojado en el sitio web real.
También se ha observado a APT28 realizando otras tres campañas:
- Una campaña de junio de 2025 que implementó una página de recolección de credenciales que imitaba una página de restablecimiento de contraseña de Sophos VPN alojada en una infraestructura proporcionada por InfinityFree para recolectar las credenciales ingresadas en el formulario y redirigir a las víctimas a un portal legítimo de Sophos VPN que pertenece a un grupo de expertos anónimo de la UE.
- Una campaña de septiembre de 2025 que utilizó páginas de recolección de credenciales alojadas en dominios InfinityFree para advertir falsamente a los usuarios sobre contraseñas caducadas para engañarlos para que ingresaran sus credenciales y redirigirlos a una página de inicio de sesión legítima asociada con una organización militar en la República de Macedonia del Norte y un integrador de TI con sede en Uzbekistán.
- Una campaña de abril de 2025 que utilizó una página falsa de restablecimiento de contraseña de Google alojada en Byet Internet Services para recopilar las credenciales de las víctimas y filtrarlas a una URL ngrok.
«El abuso constante por parte de BlueDelta de la infraestructura legítima de servicios de Internet demuestra la continua dependencia del grupo de servicios desechables para alojar y transmitir datos de credenciales», dijo la compañía propiedad de Mastercard. «Estas campañas subrayan el compromiso sostenido del GRU con la recolección de credenciales como un método de bajo costo y alto rendimiento para recopilar información que respalde los objetivos de la inteligencia rusa».