Las agencias gubernamentales ucranianas han sido víctimas de una sofisticada campaña cibernética atropellada por el grupo UAC-0001, también conocido como APT28, dirigido a dispositivos de control industrial (ICS) que ejecutan sistemas operativos de Windows como servidores.
Los ataques, que ocurrieron entre marzo y abril de 2024, representan una escalada significativa en las tácticas de guerra cibernética patrocinada por el estado, lo que demuestra técnicas avanzadas para los sistemas de infraestructura crítica penetrante.
La campaña se dirigió específicamente al sistema de comunicación de la información de un organismo ejecutivo central, donde los atacantes implementaron con éxito dos herramientas de malware primarias: Beardshell y Slimagent.
Estos sofisticados instrumentos de software fueron diseñados para establecer un acceso persistente y realizar operaciones de vigilancia extensas dentro de las redes comprometidas.
La metodología de ataque empleó un enfoque de varias etapas, comenzando con las tácticas de ingeniería social a través de la plataforma de mensajes de señal y culminando en el despliegue de capacidades avanzadas de puerta trasera.
Analistas CERT-UA identificado Los dispositivos técnicos durante su investigación de respuesta a incidentes, descubriendo que los sistemas comprometidos sirvían activamente como infraestructura de comando y control para los actores de amenazas.
Los investigadores señalaron que el método de compromiso inicial involucraba a una persona no identificada que envía un documento titulado “Act.doc” a través de la señal, que contenía macros maliciosos diseñados para ejecutar la interacción del usuario.
Este método de entrega demostró ser particularmente efectivo ya que pasó por alto las medidas de seguridad de correo electrónico tradicionales y explotó la confianza asociada con las comunicaciones de señales.
El alcance del ataque se extendió más allá del plazo inicial de marzo-abril de 2024, con inteligencia operativa recibida en mayo de 2025 que indica un acceso no autorizado a cuentas de correo electrónico dentro de la zona de dominio de Gov.UA.
Esta revelación sugiere una campaña prolongada con múltiples fases de actividades de infiltración y exfiltración de datos.
Los atacantes demostraron un conocimiento detallado de sus objetivos, que poseen información específica sobre el estado de cosas dentro de los departamentos gubernamentales relevantes.
Mecanismo de infección y tácticas de persistencia
La cadena de infección empleada por UAC-0001 demuestra una notable sofisticación en su enfoque de varias capas para el compromiso y la persistencia del sistema.
Tras la activación del documento de ACT malicioso.
La macro crea dos archivos críticos: %AppData %\ Microsoft \ Protect \ ctec.dll y %LocalAppData %\ Windows.png, al tiempo que establece simultáneamente una clave de registro Com-Hijacking en HKCU \ Software \ Classes \ Clsid \ {2227A280-3AEA-1069-A2DE-08002B30303303309D \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ in.
El archivo CTEC.DLL sirve como el mecanismo principal de descifrado, responsable de procesar y ejecutar shellcode almacenado dentro del archivo windows.png aparentemente inocuo.
Posteriormente, este código de shell inicia el componente del marco Covenant (ksmqsyck.dx4.exe) directamente en la memoria del sistema, estableciendo la comunicación con los servidores de comando y control a través de la API del servicio KoofR.
La elección de los servicios legítimos de almacenamiento en la nube como canales de comunicación demuestra el compromiso de los atacantes de evadir los mecanismos de detección de redes.
El mecanismo de persistencia se basa en gran medida en las técnicas Com-Jacking, creando entradas de registro adicionales para garantizar el acceso continuo incluso después de reiniciar el sistema.
El malware establece un método de persistencia secundaria a través de la clave de registro hkey_current_user \ software \ classes \ clsid \ {2DEA658F-54C1-4227-AF9B-260AB5FC3543} \ inProcserver32, que se realiza la ejecución de la ejecución de los inyectores de juegos de juego a través de la tarea legitimada de la legitimación programada para la tarea programada. Microsoft \ Windows \ Multimedia \ SystemiesundsService.
Esta técnica ejemplifica la comprensión sofisticada de los actores de la amenaza de las partes internas del sistema de Windows y su capacidad para abusar de las funciones legítimas del sistema con fines maliciosos.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
