Una campaña cibernética prorrusa ataca a los ucranianos con malware y propaganda antimovilización

Por Mura en Seguridad informática

Traducir a:

En un hecho preocupante, una sofisticada campaña cibernética está apuntando a los usuarios de Internet ucranianos, aprovechando los canales populares de Telegram para difundir malware y socavar los esfuerzos de movilización nacional. Google ha atribuido esta actividad a un actor de amenazas identificado como UNC5812, que ha estado utilizando canales legítimos de Telegram en idioma ucraniano para distribuir software peligroso y propaganda contra la movilización.

Tabla de contenido

Uso de Telegram por parte de la UNC5812 para comunicarse con las víctimas

En los últimos meses, UNC5812 ha comprado publicaciones promocionadas en canales legítimos de Telegram en idioma ucraniano para llegar a grandes audiencias, algunas con hasta 80.000 suscriptores. Cabe destacar que la campaña ha girado en torno a un sitio web que se hace pasar por una iniciativa oficial de "Defensa Civil", atrayendo a los usuarios con la promesa de un software que les ayudará a permanecer anónimos y seguros en línea. En realidad, este sitio web y sus publicaciones promocionadas son parte de un plan más amplio para infectar dispositivos con malware y realizar operaciones de influencia destinadas a desestabilizar los esfuerzos de reclutamiento de Ucrania.

El sitio web malicioso de “Defensa Civil”

El sitio web denominado "Civil Defense", controlado por UNC5812, afirma ofrecer software para varios sistemas operativos, incluida una aplicación para Android disponible exclusivamente fuera de Google Play. Esta restricción se presenta como una característica de seguridad, lo que implica que es más segura que las ofertas de Play Store. Sin embargo, se trata de una tapadera para distribuir malware que puede comprometer los dispositivos de los usuarios.

Para instalar correctamente este malware, el sitio web indica a los usuarios que desactiven Google Play Protect (una función de seguridad clave que protege a los usuarios de Android de aplicaciones potencialmente dañinas) y que habiliten manualmente los permisos completos para la aplicación. Al alentar a los usuarios a eludir estas protecciones esenciales, UNC5812 aumenta la probabilidad de infectar dispositivos sin ser detectado, lo que otorga al malware un amplio acceso a los datos y la funcionalidad del dispositivo.

Actividades de influencia y desinformación

Además de distribuir malware, UNC5812 está participando en operaciones de influencia destinadas a erosionar la moral y el apoyo militar de Ucrania. El canal de Telegram "Defensa Civil" ha alentado activamente a los usuarios a subir videos que podrían desacreditar al ejército ucraniano, al tiempo que promueve narrativas que se oponen a los esfuerzos de movilización. Este canal parece diseñado para influir en la opinión pública y alimentar la desconfianza en las operaciones militares de Ucrania.

El sitio web asociado con UNC5812 también está repleto de contenido e imágenes en ucraniano que se oponen explícitamente a la movilización. Una sección de "noticias" destaca casos de presunta movilización injusta, aprovechando cualquier queja pública relacionada con el tema. Este enfoque multifacético (que combina malware con desinformación) apunta a un esfuerzo no solo para comprometer dispositivos, sino también para socavar los esfuerzos de defensa de Ucrania desde dentro.

La respuesta de Google y sus implicaciones más amplias

Google ha actuado rápidamente para contrarrestar esta campaña, notificando a las autoridades ucranianas sobre las actividades de UNC5812 y bloqueando el acceso al sitio web de "Defensa Civil" en Ucrania. Además, Google ha añadido los dominios y archivos asociados a esta campaña a su función de Navegación Segura, con el objetivo de evitar más infecciones en los servicios de Google.

Esta campaña cibernética surge en un momento en que Ucrania ha introducido una identificación militar digital nacional para agilizar la movilización y la gestión de los reclutas. Según los hallazgos de Google, este cambio ha llevado a un aumento de la persecución de posibles reclutas militares, en consonancia con los esfuerzos de desinformación más amplios observados por EUvsDisinfo, un proyecto que rastrea la información errónea procedente de fuentes prorrusas. En conjunto, estos hallazgos ilustran un esfuerzo coordinado para explotar las vulnerabilidades tecnológicas y las tensiones sociopolíticas, aprovechando tanto el malware como la información errónea para desestabilizar la infraestructura de reclutamiento de Ucrania.

Cómo mantenerse a salvo frente a campañas dirigidas

La campaña UNC5812 demuestra cómo los ciberdelincuentes pueden combinar ataques técnicos con manipulación psicológica para lograr objetivos estratégicos. Para los usuarios, especialmente en Ucrania, es fundamental aumentar la conciencia sobre la seguridad digital. Las precauciones básicas incluyen descargar aplicaciones exclusivamente de fuentes confiables como Google Play, evitar deshabilitar funciones de seguridad críticas como Google Play Protect y permanecer alerta sobre la legitimidad de los canales de Telegram que promueven contenido controvertido o software no solicitado.

A medida que las campañas cibernéticas siguen evolucionando en cuanto a sofisticación y alcance, las respuestas coordinadas de empresas como Google y las autoridades nacionales seguirán siendo esenciales para mitigar estas amenazas. Para las personas, comprender los riesgos de descargar aplicaciones no autorizadas e interactuar con contenido en línea potencialmente malicioso puede marcar una diferencia significativa a la hora de mantenerse a salvo tanto del malware como de las campañas de influencia.

SpyHunter para Windows de EnigmaSoft ha obtenido la certificación AV-TEST

Buscar

Cambia región