El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado detalles de una nueva campaña dirigida a gobiernos e instituciones sanitarias municipales, principalmente clínicas y hospitales de emergencia, para distribuir malware capaz de robar datos confidenciales de los navegadores web basados en Chromium y de WhatsApp.
La actividad, que se observó entre marzo y abril de 2026, se ha atribuido a un grupo de amenazas denominado UAC-0247. Los orígenes de la campaña se desconocen actualmente.
Según CERT-UA, el punto de partida de la cadena de ataque es un mensaje de correo electrónico que dice ser una propuesta de ayuda humanitaria, instando a los destinatarios a hacer clic en un enlace que redirige a un sitio web legítimo comprometido a través de una vulnerabilidad de secuencias de comandos entre sitios (XSS) o un sitio falso creado con la ayuda de herramientas de inteligencia artificial (IA).
Independientemente de cuál sea el sitio, el objetivo es descargar y ejecutar un archivo de acceso directo de Windows (LNK), que luego ejecuta una aplicación HTML remota (HTA) usando la utilidad nativa de Windows, «mshta.exe». El archivo HTA, por su parte, muestra una forma de señuelo para desviar la atención de la víctima, al mismo tiempo que recupera un binario responsable de inyectar código shell en un proceso legítimo (por ejemplo, «runtimeBroker.exe»).
«Al mismo tiempo, las campañas recientes han registrado el uso de un cargador de dos etapas, la segunda etapa del cual se implementa utilizando un formato de archivo ejecutable propietario (con soporte completo para secciones de código y datos, importación de funciones de bibliotecas dinámicas y reubicación), y la carga útil final se comprime y cifra adicionalmente», dijo CERT-UA.
Uno de los etapas es una herramienta llamada TCP Reverse Shell o su equivalente, rastreada como RAVENSHELL, que establece una conexión TCP con un servidor de administración para recibir comandos para su ejecución en el host usando «cmd.exe».
También se descarga en la máquina infectada una familia de malware denominada AGINGFLY y un script de PowerShell denominado SILENTLOOP que viene con varias funciones para ejecutar comandos, actualizar automáticamente la configuración y obtener la dirección IP actual del servidor de administración de un canal de Telegram, y recurrir a mecanismos alternativos para determinar la dirección de comando y control (C2).
Desarrollado con C#, AGINGFLY está diseñado para proporcionar control remoto de los sistemas afectados. Se comunica con un servidor C2 mediante WebSockets para obtener comandos que le permiten ejecutar comandos, iniciar un registrador de teclas, descargar archivos y ejecutar cargas útiles adicionales.
Una investigación de alrededor de una docena de incidentes ha revelado que estos ataques facilitan el reconocimiento, el movimiento lateral y el robo de credenciales y otros datos confidenciales de WhatsApp y los navegadores basados en Chromium. Estose logra mediante la implementación de varias herramientas de código abierto, como las que se enumeran a continuación:
- ChromElevator, un programa diseñado para eludir las protecciones de cifrado vinculado a aplicaciones (ABE) de Chromium y recopilar cookies y contraseñas guardadas
- ZAPiXDESK, una herramienta de extracción forense para descifrar bases de datos locales para WhatsApp Web
- RustScan, un escáner de red
- Ligolo-Ng, una utilidad ligera para establecer túneles a partir de conexiones TCP/TLS inversas
- Chisel, una herramienta para tunelizar el tráfico de red a través de TCP/UDP
- XMRig, un minero de criptomonedas
La agencia dijo que hay evidencia que sugiere que representantes de las Fuerzas de Defensa de Ucrania también podrían haber sido atacados como parte de la campaña. Esto se basa en la distribución de archivos ZIP maliciosos a través de Signal que están diseñados para eliminar AGINGFLY mediante la técnica de carga lateral de DLL.
Para mitigar el riesgo asociado con la amenaza y minimizar la superficie de ataque, se recomienda restringir la ejecución de archivos LNK, HTA y JS, junto con utilidades legítimas como «mshta.exe», «powershell.exe» y «wscript.exe».