Un sofisticado actor de amenaza alineado en ruso conocido como Hive0156 ha intensificado sus campañas de ciber espionaje contra el gobierno ucraniano y las organizaciones militares, desplegando el notorio troyano de acceso remoto REMCOS a través de ataques de ingeniería social cuidadosamente elaborados.
El grupo ha demostrado una notable persistencia en el apuntar a la infraestructura de defensa de Ucrania a lo largo de 2025, utilizando archivos de Microsoft LNK y guiones de PowerShell como vectores de ataque primarios.
Las operaciones del actor de amenaza representan una escalada significativa en las tácticas de guerra cibernética, con atacantes aprovechando documentos de señuelos con temas muy relevantes para atraer a las víctimas dentro del establecimiento de defensa de Ucrania.
Estas campañas maliciosas explotan el conflicto en curso al incorporar temas como controles de preparación para el batallón, bajas en tiempos de guerra y distribución del personal operativo para maximizar la probabilidad de infiltración exitosa.
Analistas de IBM identificado que las herramientas, tácticas y procedimientos de Hive0156 se superponen fuertemente con el actor UAC-0184 de CERT-UA, lo que sugiere esfuerzos coordinados dentro del marco de operaciones cibernéticas de Rusia.
El grupo ha evolucionado su estrategia de orientación de personal exclusivamente militar a una audiencia más amplia, incorporando temas relacionados con peticiones y correspondencia oficial en campañas recientes.
El análisis reciente revela que Hive0156 ha simplificado sus mecanismos de entrega al tiempo que mantiene la efectividad operativa.
La cadena de ataque comienza con archivos LNK o PowerShell de primera etapa armados que establecen la comunicación con la infraestructura de comando y control.
Tras una conexión exitosa, el malware recupera un documento de señuelo y un archivo comprimido que contiene componentes maliciosos.
Mecanismo sofisticado de infección en varias etapas
La metodología de infección del grupo demuestra una sofisticación técnica avanzada a través de su despliegue de Hijackloader, también conocido como IDAT Loader, que sirve como el mecanismo de entrega principal para REMCOS RAT.
Hive0156 Cadena de ataque (Fuente – IBM)
El paquete de secuestro de secuestro contiene cinco componentes críticos que trabajan en concierto para evadir la detección y establecer un acceso persistente.
La infección comienza cuando las víctimas ejecutan Retremo.exe, un ejecutable firmado legítimo que carga el archivo SQLite3.dll malicioso.
Esta biblioteca de enlaces dinámico parcheado contiene un código que inicia la secuencia de HijackLoader llamando a la función SQLITE3_RESULT_TEXT16 () comprometida.
El malware emplea la manipulación de la tabla de exportación para obstaculizar las herramientas de análisis estático, como IDA Pro, examinando adecuadamente la estructura del archivo.
SQLITE3_RESULT_TEXT16 () → Llamada de función maliciosa ↓ Decrypt SHELLCODE ESTACIÓN ↓ Proceso de archivo PNG que contiene módulos de HijackLoader ↓ Ejecutar la carga útil final REMCOS
El archivo PNG cifrado, nombrado aleatoriamente en cada campaña, contiene múltiples módulos de secolador de secuestros, incluidos AvData para la detección de software de seguridad, ESAL para la ejecución de la carga útil y RSHELL para la gestión de la memoria.
Estos módulos trabajan colectivamente para inyectar la carga útil final de REMCOS en un proceso remoto, estableciendo canales de comunicación encubierta con los servidores de comando y control de los atacantes que abarcan múltiples ubicaciones geográficas.
Hive0156 opera identificadores de campaña, incluidos HMU2005, GU2005, RA2005 y RA2005NEW, lo que sugiere una gestión operativa organizada.
El grupo mantiene las restricciones de geofencing que limitan las infecciones a las direcciones IP ucranianas mientras filtran las conexiones basadas en las cadenas esperadas de agentes de usuario, lo que demuestra capacidades de orientación precisas que maximizan la seguridad operativa al tiempo que minimizan la exposición a los investigadores de seguridad.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
