A fines del verano de 2025, los investigadores de ciberseguridad descubrieron una sofisticada campaña de lanza dirigida a personal militar ucraniano a través de la plataforma de mensajería de señales.
La operación, denominada “Phantom Net Voxel”, comienza con un documento de oficina maliciosa enviado a través de chats de señal privados, disfrazados de formularios administrativos urgentes o solicitudes de compensación.
Vista previa de la conversación de señal (Fuente – Sekoia)
Al abrir, las macros incrustadas del documento dejan caer una DLL sigilosa y un archivo PNG en la máquina de la víctima, iniciando una cadena de infección de varias etapas que finalmente instala el HTTP Grunt Stager de Covenant y la ventiladora de puerta trasera C ++ personalizada.
Los analistas de Sekoia identificaron la apariencia sin pretensiones de los documentos del señuelo, formateado en la auténtica nomenclatura militar ucraniana, como un elemento clave del éxito de la campaña.
El Macro de documento inicial verifica las versiones de Windows y luego aprovecha la API de CreateproCessw para registrar un servidor COM malicioso en CLSID {2227A280-3AEA-1069-A2DE-08002B30309D}, asegurando las cargas de DLL en cada logón de usuario.
Cadena de infección (fuente – Sekoia)
Si la clave del registro no existe, la macro deja deja prnfldr.dll al directorio de ProgramData y Windows.png a AppData, ocultando ambos archivos antes de invocar regsvr32.exe /n /i para ejecutar la rutina de instalación de la DLL.
Una vez cargado en Explorer.exe, el DLL de segunda etapa extrae un código de carcasa de los bits menos significativos de cada píxel PNG.
El código de shell de incrustado inicializa el tiempo de ejecución del lenguaje común .NET (CLR) e inyecta un módulo de gruñido HTTP del pacto, que contacta a la API de la nube KoofR para crear directorios llamados “Keeping” y “Tansfering”. El cifrado híbrido asegura las comunicaciones a medida que las cargas y descargas de archivos proporcionan un canal encubierto de comando y control.
Investigador de Sekoia anotado que cada huésped comprometido está representado por una carpeta única derivada de GUID, que indica potencialmente docenas de sistemas infectados.
Paralelamente, la ventana de barba, una puerta trasera de C ++ no administrada, emerge como la carga útil posterior, utilizando el servicio IceDrive para las comunicaciones C2. Su punto de entrada, ServiceMain, realiza verificaciones anti-análisis y luego genera un identificador basado en perfil de hardware para el nombre del directorio en el almacenamiento en la nube.
Una vez activo, BeardShell instancia las sesiones de PowerShell a través de rutinas de inicialización de CLR integradas, ejecutando comandos formatados en JSON como:
// Create PowerShell instance (cmd_id=1) {“task_id”:0,”cmd_id”:1,”data”:{}} // Execute SystemInfo (cmd_id=2) {“task_id”:0,”cmd_id”:2,”data”:{“id”:0,”cmd”:”SystemInfo”}}
Estos comandos y sus resultados están encriptados con Chacha20-Poly1305, disfrazados de archivos de imagen benignos (p. Ej. El uso alternativo de los servicios legítimos en la nube KoofR y IceDrive subrayan el énfasis del adversario en la evasión de detección y la flexibilidad operativa.
Mecanismo de infección y persistencia
En el corazón de este ataque hay un enfoque de persistencia de dos puntas. Las modificaciones de registro de la macro de VBA garantizan la ejecución del código de la inicio, mientras que el Hankack de la DLL de la segunda etapa garantiza la apariencia perfecta de las funciones de impresión legítimas, enmascarando su presencia.
Al dividir la entrega de carga útil entre las macros de oficina, el secuestro de COM, la extracción de shellcode Steganográfica y las API legítimas de la nube, APT28 logra un punto de apoyo sólido y múltiple.
Se recomienda a los ingenieros de detección que controlen los registros de COM inesperados en CLSID de alto privilegio e inspeccionen los archivos anómalos de PNG o TIFF en los directorios de AppData para cargas útiles ocultas.
Con la reutilización de esta campaña de marcos de código abierto y novelas novedosas, los defensores deben adaptarse correlacionando anomalías de firma de código, manipulación de registros y tráfico de API en la nube para interceptar invasiones futuras.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
