enero 14, 2026
cyberattack.jpg

9 de enero de 2026Ravie LakshmananSeguridad del correo electrónico/Inteligencia contra amenazas

Los actores de amenazas patrocinados por el Estado ruso han sido vinculados a una nueva serie de ataques de recolección de credenciales dirigidos a personas asociadas con una agencia turca de investigación energética y nuclear, empleados de un grupo de expertos europeo y organizaciones en Macedonia del Norte y Uzbekistán.

La actividad se atribuyó a APT28 (también conocido como BlueDelta), que el mes pasado se atribuyó a una campaña “sostenida” de recolección de credenciales dirigida a usuarios de la red UKR(.). APT28 está afiliado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU).

“El uso de material señuelo en idioma turco y dirigido a regiones regionales sugiere que BlueDelta ha adaptado su contenido para aumentar la credibilidad con audiencias profesionales y geográficas específicas”, dijo Insikt Group of Recorded Future. “Esta selección refleja un interés continuo en organizaciones asociadas con la investigación energética, la cooperación en defensa y las redes de comunicaciones gubernamentales relevantes para las prioridades de la inteligencia rusa”.

Ciberseguridad

La empresa de ciberseguridad describió los ataques de febrero y septiembre de 2025 como dirigidos a un grupo pequeño pero distinto de víctimas, y la campaña utilizó páginas de inicio de sesión falsas diseñadas para parecerse a servicios populares como los portales Microsoft Outlook Web Access (OWA), Google y Sophos VPN.

Lo notable del esfuerzo es el hecho de que después de ingresar las credenciales en las páginas de destino falsas, los usuarios desprevenidos son redirigidos a sitios web legítimos, sin generar así ninguna señal de alerta. También se descubrió que las campañas dependían en gran medida de servicios como Webhook(.)site, InfinityFree, Byet Internet Services y ngrok para alojar las páginas de phishing, filtrar datos robados y habilitar redirecciones.

En un nuevo intento de darles un barniz de legitimidad, se dice que los actores de la amenaza utilizaron documentos PDF legítimos como cebo, incluida una publicación del Centro de Investigación del Golfo relacionada con la guerra entre Irán e Israel en junio de 2025 y un informe de políticas de julio de 2025 en el que se pedía un nuevo pacto mediterráneo publicado por el grupo de expertos sobre cambio climático ECCO.

La cadena de ataque comienza con un correo electrónico de phishing que contiene un enlace acortado que, al hacer clic, redirige a las víctimas a otro enlace alojado en el sitio webhook(.), donde el documento señuelo se muestra brevemente durante aproximadamente dos segundos antes de ser redirigido a un segundo sitio webhook(.)que aloja una página de inicio de sesión falsa de Microsoft OWA.

Hay un elemento de formulario HTML oculto en esta página que almacena la URL del sitio webhook(.) y utiliza JavaScript para enviar uno.

La baliza “Abrir página” entrega las credenciales enviadas al punto final del webhook y finalmente las redirige al PDF alojado en el sitio web real.

También se observó a APT28 ejecutando otras tres campañas:

Ciberseguridad
  • Una campaña en junio de 2025 que implementó una página de recopilación de credenciales que imitaba una página de restablecimiento de contraseña de Sophos VPN alojada en una infraestructura proporcionada por InfinityFree para recopilar las credenciales ingresadas en el formulario y redirigir a las víctimas a un portal legítimo de Sophos VPN que pertenece a un grupo de expertos anónimo de la UE.
  • Una campaña de septiembre de 2025 que utilizó páginas de recolección de credenciales alojadas en dominios InfinityFree para advertir falsamente a los usuarios sobre contraseñas caducadas con el fin de engañarlos para que ingresaran sus credenciales y los redireccionaran a una página de inicio de sesión legítima asociada con una organización militar en la República de Macedonia del Norte y un integrador de TI con sede en Uzbekistán.
  • Una campaña de abril de 2025 que utilizó una página falsa de restablecimiento de contraseña de Google alojada en Byet Internet Services para recopilar las credenciales de inicio de sesión de las víctimas y filtrarlas a una URL de Ngrok.

“El continuo abuso por parte de BlueDelta de la infraestructura de servicios legítimos de Internet demuestra la continua dependencia del grupo de los servicios disponibles para alojar y enrutar credenciales”, dijo la empresa propiedad de Mastercard. “Estas campañas subrayan el compromiso sostenido del GRU con la recopilación de credenciales como un método rentable y de alto rendimiento para recopilar información que respalde los objetivos de la inteligencia rusa”.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

gemini-logo-gettyimages-2246856729.jpg

En 2026, Google se centra en hacer que la IA sea realmente útil

enero 14, 2026 0
gettyimages-200464106-001.jpg

¿Preparar la cena en la freidora? Evite el aceite de oliva y use este en su lugar.

enero 14, 2026 0
dc606693-424d-4783-8e56-a5a08cd81d9c.jpeg

Meta ha cerrado tres estudios de realidad virtual como parte de sus cortes de Metaverse

enero 14, 2026 0
wrcw-2025-fg-00470210-still908-3000.jpg

Prime Video: Las 16 mejores películas para ver

enero 14, 2026 0
microsoft-store-1185699758.jpg

Microsoft anuncia un exceso de nuevos centros de datos, pero dice que no aumentará su factura de electricidad

enero 14, 2026 0
GettyImages-1354022389.jpg

Un organismo de control del consumidor ha emitido una advertencia sobre el protocolo de compra de agentes de IA de Google: Google dice que es incorrecto

enero 14, 2026 0