Un grupo proucraniano llamado osolyfy se ha atribuido a más de 70 ataques cibernéticos dirigidos a empresas rusas desde que apareció por primera vez en el panorama de amenazas en enero de 2025, y los ataques recientes aprovecharon una cepa de ransomware de Windows personalizada con el nombre en código GenieLocker.
«Bearlyfy (también conocido como Labubu) opera como un grupo de doble propósito destinado a infligir el máximo daño a las empresas rusas; sus ataques sirven al doble objetivo de extorsión para obtener ganancias financieras y actos de sabotaje», dijo el proveedor de seguridad ruso F6.
F6 documentó por primera vez que el grupo de piratas informáticos aprovechaba cifrados asociados con LockBit 3 (Black) y Babuk en septiembre de 2025, y las primeras intrusiones se centraron en empresas más pequeñas antes de subir la apuesta y exigir rescates por una suma de 80.000 euros (alrededor de 92.100 dólares). En agosto de 2025, el grupo se había cobrado al menos 30 víctimas.
A partir de mayo de 2025, los actores de Bearlyfy también utilizaron una versión modificada de PolyVice, una familia de ransomware atribuida a Vice Society (también conocida como DEV-0832 o Vanilla Tempest), que tiene un historial de entregar casilleros de terceros como Hello Kitty, Zeppelin, RedAlert y Rhysida ransomware en sus ataques.
Un análisis más profundo del conjunto de herramientas y la infraestructura del actor de amenazas revela superposiciones con PhantomCore, otro grupo que se considera que opera teniendo en cuenta los intereses ucranianos. Se sabe que ataca a empresas rusas y bielorrusas desde 2022. Más allá de PhantomCore, también se dice que Bearlyfy ha colaborado con Head Mare.
Los ataques organizados por el grupo obtuvieron acceso inicial mediante la explotación de servicios externos y aplicaciones vulnerables, seguido de la eliminación de herramientas como MeshAgent para facilitar el acceso remoto y permitir el cifrado, destrucción o modificación de datos. Por el contrario, PhantomCore lleva a cabo campañas estilo APT, donde tienen prioridad el reconocimiento, la persistencia y la filtración de datos.
«El grupo en sí se distingue por ataques rápidos caracterizados por una preparación mínima y un rápido cifrado de datos; otra característica distintiva de estos ataques es que las notas de rescate no son generadas por el software ransomware en sí, sino que son elaboradas directamente por los atacantes», señaló F6 el año pasado.
Los ataques de Bearlyfy han demostrado ser una fuente ilícita de generación de ingresos. Según los datos de F6, aproximadamente una de cada cinco víctimas opta por pagar el rescate. Se dice que las demandas iniciales de rescate por parte del adversario aumentaron aún más, alcanzando cientos de miles de dólares.
El cambio más notable en el modus operandi del actor de amenazas es el uso de una familia de ransomware patentada llamada GenieLocker para apuntar a puntos finales de Windows desde principios de marzo de 2026. El esquema de cifrado de GenieLocker está inspirado en las familias de ransomware Venus/Trinity.
Uno de los rasgos más distintivos de los ataques de ransomware es que el casillero genera automáticamente las notas de rescate. En cambio, los actores de amenazas optan por sus propios métodos para compartir los siguientes pasos con las víctimas, ya sea simplemente compartiendo datos de contacto o elaborando mensajes que buscan ejercer presión psicológica y obligarlas a pagar.
«Si bien en sus primeras etapas, los miembros de Bearlyfy demostraron una falta de sofisticación y claramente estaban experimentando con varias técnicas y conjuntos de herramientas, en el lapso de un solo año, este grupo se ha convertido en una verdadera pesadilla para las empresas rusas, incluidas las grandes empresas», dijo F6.