Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Variante JavaScript de PicassoLoader

Variante JavaScript de PicassoLoader

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

El grupo terrorista conocido como Ghostwriter ha sido vinculado a una nueva oleada de ciberataques dirigidos contra organizaciones gubernamentales en Ucrania. Activo desde al menos 2016, el grupo se ha labrado una reputación por llevar a cabo campañas de ciberespionaje e influencia en toda Europa del Este, con un fuerte enfoque operativo en Ucrania y los países vecinos.

El actor de amenazas también es rastreado bajo varios alias, entre ellos FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 y White Lynx. A lo largo de los años, el grupo ha perfeccionado continuamente su infraestructura, cadenas de ataque y métodos de evasión en un esfuerzo por sortear los controles de seguridad y mantener su eficacia operativa a largo plazo.

Arsenal de malware en constante evolución

Ghostwriter ha modernizado constantemente su ecosistema de malware y sus técnicas de distribución. Las campañas anteriores dependían en gran medida de la familia de malware PicassoLoader, que funcionaba como mecanismo de distribución para cargas útiles adicionales como Cobalt Strike Beacon y njRAT.

A finales de 2023, el grupo amplió sus capacidades explotando la vulnerabilidad CVE-2023-38831 de WinRAR para distribuir PicassoLoader y Cobalt Strike. Al año siguiente, organizaciones polacas fueron blanco de una campaña de phishing que aprovechó una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Roundcube, identificada como CVE-2024-42009. Esta actividad maliciosa permitió a los atacantes ejecutar código JavaScript capaz de robar las credenciales de correo electrónico de las víctimas.

Las cuentas comprometidas se utilizaron posteriormente para inspeccionar el contenido de los buzones de correo, robar listas de contactos y distribuir mensajes de phishing adicionales durante junio de 2025. A finales de ese mismo año, el grupo también había integrado técnicas avanzadas de antianálisis en sus operaciones. Algunos documentos señuelo comenzaron a utilizar la verificación dinámica de CAPTCHA para activar selectivamente la cadena de infección maliciosa y frustrar los sistemas de análisis automatizados.

Sofisticadas campañas de spear-phishing atacan a Ucrania

Desde marzo de 2026, los investigadores han detectado una nueva campaña dirigida a instituciones gubernamentales ucranianas mediante correos electrónicos de spear-phishing que contienen archivos PDF adjuntos maliciosos. Estos documentos falsos suplantan la identidad del proveedor de telecomunicaciones ucraniano Ukrtelecom con el fin de aparentar legitimidad y aumentar la participación de las víctimas.

La cadena de ataque se basa en enlaces incrustados en los archivos PDF que redirigen a las víctimas a un archivo RAR malicioso que contiene una carga útil basada en JavaScript. Una vez ejecutado, el malware muestra un documento señuelo para mantener la ilusión de legitimidad mientras ejecuta silenciosamente una variante de JavaScript de PicassoLoader en segundo plano. Posteriormente, el cargador despliega Cobalt Strike Beacon en los sistemas comprometidos.

La geolocalización y la validación de víctimas mejoran el sigilo.

Uno de los aspectos más destacables de la última campaña es la implementación de geovallado y mecanismos de validación de víctimas por capas. Los sistemas que se conectan desde direcciones IP fuera de Ucrania reciben contenido PDF inofensivo en lugar de la carga útil maliciosa, lo que reduce significativamente la exposición a investigadores y sistemas de escaneo automatizados.

El malware también realiza un análisis exhaustivo de los hosts comprometidos antes de distribuir cargas útiles adicionales. La información del sistema recopilada se transmite a la infraestructura controlada por el atacante cada diez minutos, lo que permite a los operadores determinar manualmente si una víctima justifica una mayor explotación. Solo después de completar este proceso de validación, la infraestructura distribuye un instalador JavaScript de tercera etapa responsable de instalar Cobalt Strike Beacon.

La operación combina métodos de filtrado automatizados, incluida la verificación basada en el agente de usuario y la dirección IP, con la revisión manual por parte de un operador, lo que pone de manifiesto una metodología de ataque altamente disciplinada y madura.

La estrategia de focalización regional se extiende por Europa del Este.

La actividad actual parece centrarse principalmente en entidades militares, de defensa y gubernamentales en Ucrania. Sin embargo, las operaciones atribuidas a Ghostwriter en Polonia y Lituania demuestran una estrategia de ataque más amplia que se extiende a múltiples sectores críticos:

  • Organizaciones industriales y manufactureras
  • instituciones sanitarias y farmacéuticas
  • Proveedores de logística
  • Agencias gubernamentales

La continua evolución de las herramientas, los mecanismos de entrega y las prácticas de seguridad operativa de Ghostwriter pone de manifiesto la persistencia y la adaptabilidad del grupo. Su capacidad para combinar documentos señuelo personalizados, la entrega selectiva de carga útil, técnicas anti-análisis y la validación manual de las víctimas demuestra una sofisticada capacidad de ciberespionaje diseñada para evadir la detección y maximizar el impacto operativo.

Tendencias

Estafa por correo electrónico de alerta de...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados siempre deben tratarse con precaución, especialmente cuando generan una sensación de urgencia o solicitan información confidencial. Los ciberdelincuentes suelen disfrazar los mensajes de phishing como notificaciones legítimas de proveedores de servicios de confianza para engañar a los destinatarios y obtener sus datos personales. Los correos electrónicos de...

Mas Visto

Cargando...