La Oficina Federal de Alemania para la Protección de la Constitución (también conocida como Bundesamt für Verfassungsschutz o BfV) y la Oficina Federal para la Seguridad de la Información (BSI) han emitido una advertencia conjunta sobre una campaña cibernética maliciosa emprendida por un probable actor de amenazas patrocinado por el estado que implica llevar a cabo ataques de phishing a la aplicación de mensajería Signal.
«La atención se centra en objetivos de alto rango en la política, el ejército y la diplomacia, así como en periodistas de investigación en Alemania y Europa», dijeron las agencias. «El acceso no autorizado a cuentas de mensajería no sólo permite el acceso a comunicaciones privadas confidenciales sino que también compromete potencialmente redes enteras».
Un aspecto digno de mención de la campaña es que no implica la distribución de malware ni la explotación de ninguna vulnerabilidad de seguridad en la plataforma de mensajería centrada en la privacidad. Más bien, el objetivo final es convertir sus funciones legítimas en armas para obtener acceso encubierto a los chats de la víctima, junto con sus listas de contactos.
La cadena de ataque es la siguiente: los actores de amenazas se hacen pasar por «Signal Support» o un chatbot de soporte llamado «Signal Security ChatBot» para iniciar contacto directo con posibles objetivos, instándolos a proporcionar un PIN o un código de verificación recibido por SMS, o corren el riesgo de perder datos.
Si la víctima cumple, los atacantes pueden registrar la cuenta y obtener acceso al perfil, la configuración, los contactos y la lista de bloqueo de la víctima a través de un dispositivo y un número de teléfono móvil bajo su control. Si bien el PIN robado no permite el acceso a las conversaciones pasadas de la víctima, un actor de amenazas puede usarlo para capturar mensajes entrantes y enviar mensajes haciéndose pasar por la víctima.
El usuario objetivo, que ya ha perdido el acceso a su cuenta, recibe instrucciones del actor de amenazas disfrazado de chatbot de soporte para que se registre para obtener una nueva cuenta.
También existe una secuencia de infección alternativa que aprovecha la opción de vinculación de dispositivos para engañar a las víctimas para que escaneen un código QR, concediendo así a los atacantes acceso a la cuenta de la víctima, incluidos sus mensajes de los últimos 45 días, en un dispositivo administrado por ellos.
Sin embargo, en este caso, las personas objetivo siguen teniendo acceso a su cuenta, sin darse cuenta de que sus chats y listas de contactos ahora también están expuestos a los actores de amenazas.
Las autoridades de seguridad advirtieron que si bien el enfoque actual de la campaña parece ser Signal, el ataque también puede extenderse a WhatsApp, ya que también incorpora funciones similares de PIN y vinculación de dispositivos como parte de la verificación en dos pasos.
«El acceso exitoso a las cuentas de mensajería no sólo permite ver comunicaciones individuales confidenciales, sino que también puede comprometer redes enteras a través de chats grupales», dijeron BfV y BSI.
Si bien no se sabe quién está detrás de la actividad, ataques similares han sido orquestados por múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185), según informes de Microsoft y Google Threat Intelligence Group a principios del año pasado.
En diciembre de 2025, Gen Digital también detalló otra campaña con el nombre en código GhostPairing, donde los ciberdelincuentes han recurrido a la función de vinculación de dispositivos en WhatsApp para tomar el control de las cuentas y probablemente hacerse pasar por usuarios o cometer fraude.
Para mantenerse protegidos contra la amenaza, se recomienda a los usuarios que se abstengan de interactuar con cuentas de soporte e ingresar su PIN de Signal como mensaje de texto. Una línea de defensa crucial es habilitar el bloqueo de registro, que evita que usuarios no autorizados registren un número de teléfono en otro dispositivo. También se recomienda revisar periódicamente la lista de dispositivos vinculados y eliminar los dispositivos desconocidos.
El desarrollo se produce cuando el gobierno noruego acusó a los grupos de piratería respaldados por China, incluido Salt Typhoon, de irrumpir en varias organizaciones del país mediante la explotación de dispositivos de red vulnerables, al tiempo que llamó a Rusia por monitorear de cerca objetivos militares y actividades aliadas, y a Irán por vigilar a los disidentes.
Al afirmar que los servicios de inteligencia chinos intentan reclutar a ciudadanos noruegos para obtener acceso a datos clasificados, el Servicio de Seguridad de la Policía de Noruega (PST) señaló que luego se anima a estas fuentes a establecer sus propias redes de «fuentes humanas» anunciando puestos a tiempo parcial en bolsas de trabajo o acercándose a ellos a través de LinkedIn.
La agencia advirtió además que China está explotando «sistemáticamente» los esfuerzos colaborativos de investigación y desarrollo para fortalecer sus propias capacidades de seguridad e inteligencia. Vale la pena señalar que la ley china exige que las vulnerabilidades de software identificadas por investigadores chinos se informen a las autoridades a más tardar dos días después de su descubrimiento.
«Los actores iraníes de amenazas cibernéticas comprometen cuentas de correo electrónico, perfiles de redes sociales y computadoras privadas pertenecientes a disidentes para recopilar información sobre ellos y sus redes», dijo PST. «Estos actores tienen capacidades avanzadas y seguirán desarrollando sus métodos para llevar a cabo operaciones cada vez más selectivas e intrusivas contra personas en Noruega».
La divulgación sigue a un aviso de CERT Polska, que evaluó que un grupo de piratería de un estado-nación ruso llamado Static Tundra probablemente esté detrás de ataques cibernéticos coordinados dirigidos a más de 30 parques eólicos y fotovoltaicos, una empresa privada del sector manufacturero y una gran planta combinada de calor y energía (CHP) que suministra calor a casi medio millón de clientes en el país.
«En cada instalación afectada, estaba presente un dispositivo FortiGate, que servía como concentrador VPN y cortafuegos», dijo. «En todos los casos, la interfaz VPN estuvo expuesta a Internet y permitió la autenticación de cuentas definidas en la configuración sin autenticación multifactor».