Diversas empresas rusas han sido víctimas de una campaña de phishing a gran escala, cuyo objetivo es propagar el malware conocido como DarkWatchman. Esta amenaza ha apuntado a organizaciones de sectores clave como medios de comunicación, turismo, finanzas, seguros, manufactura, comercio minorista, energía, telecomunicaciones, transporte y biotecnología, según informó la firma rusa de ciberseguridad F6.
Los expertos atribuyen estas actividades al grupo Hive0117, de motivación económica, el cual ha sido relacionado por IBM X-Force con ataques dirigidos a usuarios en Lituania, Estonia y Rusia, especialmente en los sectores de telecomunicaciones, electrónica e industrial.
En septiembre de 2023, DarkWatchman fue nuevamente utilizado en una campaña de phishing enfocada en empresas de energía, finanzas, transporte y seguridad informática con presencia en Rusia, Kazajistán, Letonia y Estonia. Posteriormente, en noviembre del mismo año, volvió a ser empleado para atacar bancos, comercios, empresas de telecomunicaciones, agroindustria, logística, energía y tecnología de la información, utilizando correos con señuelos disfrazados de notificaciones de mensajería.
DarkWatchman, un troyano de acceso remoto basado en JavaScript, posee capacidades como la grabación de pulsaciones de teclado, recolección de datos del sistema y ejecución de cargas secundarias. Fue documentado por primera vez en diciembre de 2021. IBM destacó en 2023 que su naturaleza sin archivos, el uso combinado de JavaScript con un keylogger en C#, y su habilidad para eliminar rastros, evidencian un nivel de sofisticación elevado.
En la más reciente oleada de ataques, se utilizaron correos de phishing que incluían archivos maliciosos protegidos con contraseña. Al ser abiertos, desplegaban una variante más avanzada de DarkWatchman, optimizada para evitar la detección.
Sheriff: la nueva amenaza en Ucrania
Mientras tanto, en la primera mitad de 2024, IBM X-Force reportó que una organización del sector defensa ucraniano fue blanco de un ataque con un nuevo backdoor para Windows, llamado Sheriff. El investigador de seguridad Golo Mühr reveló en marzo de 2025 que esta puerta trasera modular fue alojada en ukr.net, un popular portal de noticias en Ucrania, posiblemente comprometido en marzo de 2024.
Sheriff permite ejecutar comandos remotos, capturar pantallas y exfiltrar datos sigilosamente mediante la API de Dropbox. Además, tiene capacidades de gestión de múltiples módulos, incluyendo uno específico para capturas de pantalla, configurado a través de comentarios en archivos ZIP.
La puerta trasera también incluye una función de “autodestrucción” que borra toda su actividad y elimina los archivos relacionados, tanto del sistema infectado como del servidor de control (Dropbox), si el operador lo solicita.
IBM identificó similitudes entre Sheriff y otras amenazas conocidas como Kazuar y Crutch (de Turla), Prikormka (de la Operación Groundbait) y CloudWizard (de Bad Magic). Varias de estas familias comparten funciones como GetSettings y estructuras comunes para módulos de captura y exfiltración.
El descubrimiento de Sheriff coincide con un informe del Servicio Estatal de Protección de la Información y Comunicaciones Especiales de Ucrania (SSSCIP), que alertó de un aumento del 48% en incidentes cibernéticos en la segunda mitad de 2024, con un total de 4.315 ataques reportados ese año.
Pese al incremento en la cantidad de ataques, los incidentes considerados críticos o de alta gravedad descendieron a 59, desde los 1.048 en 2022 y los 367 en 2023.
El SSSCIP también advirtió que grupos de hackers rusos están incrementando el uso de la automatización, llevando a cabo ataques a la cadena de suministro mediante software de terceros y combinando técnicas de espionaje con sabotaje. Su objetivo principal sería recolectar inteligencia estratégica que pueda alterar el curso de los acontecimientos en el frente, centrándose especialmente en sistemas de conciencia situacional y empresas de defensa.
Fuente: thehackernews.com
