Investigadores de ciberseguridad han revelado detalles de una campaña activa de phishing dirigida a una variedad de sectores en Rusia utilizando correos electrónicos de phishing que envían ladrones fantasmas a través de imágenes de discos ISO ópticos maliciosos.
La actividad, denominada Operación MoneyMount-ISO por Seqrite Labs, estaba dirigida principalmente a empresas financieras y contables, con empresas de los sectores de adquisiciones, legal y nómina como objetivos secundarios.
“Esta campaña utiliza un señuelo de confirmación de pago falso para difundir el malware Phantom que roba información a través de una cadena de archivos adjuntos de varias etapas”, dijo la firma de ciberseguridad.
La cadena de infección comienza con un correo electrónico de phishing que se hace pasar por una comunicación financiera legítima y pide a los destinatarios que confirmen una transferencia bancaria reciente. Adjunto al correo electrónico hay un archivo ZIP que supuestamente contiene detalles adicionales, pero en su lugar contiene un archivo ISO que se monta como una unidad de CD virtual en el sistema al inicio.
La imagen ISO (“Подтверждение BANKовского перевода.iso” o “Bank transfer confirm.iso”) sirve como un archivo ejecutable que se supone que Phantom Stealer inicia utilizando una DLL integrada (“CreativeAI.dll”).
Phantom Stealer puede extraer datos de las extensiones del navegador de billeteras de criptomonedas instaladas en navegadores basados en Chromium y aplicaciones de billeteras de escritorio, así como archivos de captura, tokens de autenticación de Discord, así como contraseñas, cookies y datos de tarjetas de crédito relacionados con el navegador.
También monitorea el contenido del portapapeles, registra las pulsaciones de teclas y realiza una serie de comprobaciones para detectar entornos virtualizados, de espacio aislado o analíticos. Si este es el caso, se cancela la ejecución. La filtración de datos se produce a través de un bot de Telegram o un webhook de Discord controlado por el atacante. Además, el ladrón permite la transferencia de archivos a un servidor FTP.
En los últimos meses, las organizaciones rusas, principalmente los departamentos de recursos humanos y nómina, también han sido blanco de correos electrónicos de phishing que utilizan señuelos relacionados con bonificaciones o políticas financieras internas para implementar un implante previamente no documentado llamado DUPERUNNER que carga AdaptixC2, un marco de comando y control (C2) de código abierto.
La campaña, llamada DupeHike, estaba asociada con un grupo de amenazas llamado UNG0902.
“El archivo ZIP se utilizó como fuente preliminar para infecciones basadas en phishing que contienen señuelos de extensión PDF y LNK que descargan el implante DUPERUNNER, que finalmente ejecuta Adaptix C2 Beacon”, dijo Seqrite.
El archivo LNK (“Документ_1_О_размере_годовой_премии.pdf.lnk” o “Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”) a su vez carga DUPERUNNER desde un servidor externo usando “powershell.exe”. abajo. La tarea principal del implante es recuperar y mostrar un PDF señuelo e iniciar AdaptixC2 insertándolo en un proceso legítimo de Windows como explorer.exe, notepad.exe y msedge.exe.
Otras campañas de phishing se dirigieron a los sectores financiero, legal y aeroespacial de Rusia para distribuir Cobalt Strike y herramientas maliciosas como Formbook, DarkWatchman y PhantomRemote, que son capaces de robar datos y controlar cómodamente el teclado. Los servidores de correo electrónico de las empresas rusas comprometidas se utilizan para enviar mensajes de phishing.
La empresa francesa de ciberseguridad Intrinsec ha atribuido el intento de asalto a la industria aeroespacial rusa a hacktivistas vinculados a intereses ucranianos. La actividad, detectada entre junio y septiembre de 2025, se superpone con Hive0117, Operation CargoTalon y Rainbow Hyena (también conocida como Fairy Trickster, Head Mare y PhantomCore).
También se descubrió que algunos de estos intentos redirigen a los usuarios a páginas de inicio de sesión de phishing alojadas en InterPlanetary File System (IPFS) y Vercel que están diseñadas para robar credenciales de inicio de sesión de Microsoft Outlook y Bureau 1440, una empresa aeroespacial rusa.
“Las campañas observadas entre junio y septiembre de 2025 (…) tenían como objetivo comprometer a las unidades que cooperan activamente con el ejército ruso en el actual conflicto con Ucrania, medido en gran medida por las sanciones occidentales que les impusieron”, dijo Intrinsec.
About The Author
