El actor de amenazas patrocinado por el estado ruso conocido como APT29 se ha vinculado a una campaña de phishing avanzada que está dirigida a entidades diplomáticas en toda Europa con una nueva variante de Wineloader y un cargador de malware previamente no declarado en el código Grapeloader.
«Si bien la variante mejorada de Wineloader sigue siendo una puerta trasera modular utilizada en etapas posteriores, Grapeloader es una herramienta de escenario inicial recientemente observada utilizada para huellas digitales, persistencia y entrega de carga útil», dijo Check Point en un análisis técnico publicado a principios de esta semana.
«A pesar de los diferentes roles, tanto comparten similitudes en la estructura del código, la ofuscación y el descifrado de cuerdas. El grudidor refina las técnicas anti-análisis de Wineloader al tiempo que introduce métodos de sigilo más avanzados».
El uso de Wineloader fue documentado por primera vez por Zscaler AMENAYLABZ en febrero de 2024, con los ataques que aprovechan los señuelos de degustación de vinos para infectar a los sistemas de personal diplomático.
Mientras que la campaña se atribuyó por primera vez a un clúster de actividad de amenazas llamado Spikedwine, un análisis posterior de Mandiant, propiedad de Google, lo conectó con el grupo de piratería APT29 (también conocido como Cozy Bear o Midnight Blizzard), que está afiliado al Servicio de Inteligencia Extranjera (SVR) de Rusia.
El último conjunto de ataques implica enviar invitaciones por correo electrónico que se hace pasar por un Ministerio Europeo de Asuntos Exteriores no especificados a los objetivos para eventos de degustación de vinos, convenciéndolos de hacer clic en un enlace que desencadena el despliegue de Grapeloader por medio de un archivo de cañas con malware («Wine.zip»). Los correos electrónicos se enviaron desde los dominios Bakenhof (.) Com y Silry (.) Com.
Se dice que la campaña ha señalado principalmente múltiples países europeos con un enfoque específico en los ministerios de asuntos exteriores, así como en las embajadas de otros países en Europa. Hay indicios de que los diplomáticos con sede en el Medio Oriente también pueden haber sido atacados.
El archivo ZIP contiene tres archivos: A DLL («AppVISVSubSystems64.dll») que sirve como una dependencia para ejecutar un ejecutable legítimo de PowerPoint («Wine.exe»), que luego se explota para la carga lateral de DLL para lanzar un DLL malicioso («PPCore.dll»). El malware latido funciona como un cargador (es decir, Grapeloader) para soltar la carga útil principal.
El malware gana persistencia al modificar el registro de Windows para garantizar que el ejecutable «Wine.exe» se inicie cada vez que se reinicia el sistema.
Grapeloader, además de incorporar técnicas anti-análisis como la ofuscación de cadenas y la resolución de API de tiempo de ejecución, está diseñado para recopilar información básica sobre el host infectado y exfiltrarse a un servidor externo para recuperar el código de caparazón de la siguiente etapa.
Aunque la naturaleza exacta de la carga útil no está clara, Check Point dijo que identificó artefactos de Wineloader actualizados cargados en la plataforma Virustotal con marcas de tiempo de compilación que coinciden con las de «AppvisVSVSubSystems64.dll».
«Con esta información, y el hecho de que Grapeloader reemplazó a Rootsaw, un descargador de HTA utilizado en campañas pasadas para ofrecer a Wineloader, creemos que Grapeloader finalmente conduce al despliegue de Wineloader», dijo la compañía de seguridad cibernética.
Los hallazgos se producen cuando Harfanglab detalló el malware Pterolnk VBScript de Gamaredon, que es utilizado por el actor de amenaza rusa para infectar todas las unidades USB conectadas con versiones VBScript o PowerShell del programa malicioso. Las muestras de Pterolnk se cargaron a Virustotal entre diciembre de 2024 y febrero de 2025 desde Ucrania, un objetivo principal del grupo de piratería.
«Ambas herramientas, cuando se implementan en un sistema, intentan repetidamente detectar unidades USB conectadas, para soltar archivos LNK y, en algunos casos, también una copia de Pterolnk en ellas», señaló ESET en septiembre de 2024. «Haga clic en un archivo LNK puede, dependiendo de la versión particular de Pterolnk que lo creó directamente, ya sea que se recupere directamente en la etapa de A C2, o exente en un ser servidor, o exente a un servidor, o sea execuente de un servidor PTEROLNK.
La firma de ciberseguridad francesa describió los archivos Pterolnk VBScript como fuertemente ofuscados y responsables de construir dinámicamente un descargador y un gotero LNK durante la ejecución. Si bien el descargador está programado para ejecutarse cada 3 minutos, el script LNK Dropper está configurado para ejecutarse cada 9 minutos.
El descargador emplea una estructura modular de varias etapas para llegar a un servidor remoto y obtener malware adicional. El gotero LNK, por otro lado, se propaga a través de unidades locales y de red, reemplazando los archivos .pdf, .docx y .xlsx en la raíz del directorio con contrapartes de acceso directo engañoso y ocultando los archivos originales. Estos atajos, cuando se lanzan, están diseñados para ejecutar Pterolnk en su lugar.
«Los scripts están diseñados para permitir flexibilidad para sus operadores, lo que permite una fácil modificación de parámetros como nombres de archivos y rutas, mecanismos de persistencia (claves de registro y tareas programadas) y lógica de detección para soluciones de seguridad en el sistema de destino», dijo Harfanglab.
Vale la pena señalar que el descargador y el gotero de LNK se refieren a las mismas dos cargas útiles que el equipo de cazadores de amenazas de Symantec, parte de Broadcom, revelado a principios de este mes como parte de una cadena de ataque que distribuye una versión actualizada del Gammteel Stealer –
- Ntuser.dat.tmcontainer0000000000000000000001.regtrans-ms (descargador)
- Ntuser.dat.tmcontainer0000000000000000000002.regtrans-ms (gotero LNK)
«Gamaredon opera como un componente crítico de la estrategia de operaciones cibernéticas de Rusia, particularmente en su guerra en curso con Ucrania», dijo la compañía. «La efectividad de Gamaredon no se encuentra en la sofisticación técnica sino en la adaptabilidad táctica».
«Su modus operandi combina campañas de lanza agresivas, un rápido despliegue de malware personalizado muy ofuscado e infraestructura C2 redundante. El grupo prioriza el impacto operativo sobre el sigilo, ejemplificados al señalar sus DDR a dominios de larga data vinculados públicamente a sus operaciones anteriores».