El actor de amenazas alineado con Bielorrusia conocido como **Ghostwriter** (también conocido como UAC-0057 y UNC1151) ha sido observado utilizando señuelos relacionados con Prometheus, una plataforma de aprendizaje en línea ucraniana, para atacar a organizaciones gubernamentales en Ucrania. El Equipo de Respuesta a Incidentes de Emergencia Informática de Ucrania (CERT-UA) ha estado rastreando esta actividad, que implica el envío de correos electrónicos de phishing desde cuentas comprometidas desde la primavera de 2026. ### Detalles de la Campaña de Phishing Según CERT-UA, los correos electrónicos de phishing suelen contener un archivo adjunto PDF con un enlace. Hacer clic en este enlace conduce a la descarga de un archivo ZIP que contiene un archivo JavaScript malicioso. "Típicamente, el correo electrónico contiene un archivo adjunto PDF con un enlace que, al hacer clic, lleva a la descarga de un archivo ZIP que contiene un archivo JavaScript", dijo la agencia [en un informe](https://cert.gov.ua/article/6315762) el jueves. ### Desglose del Malware: OYSTERFRESH, OYSTERBLUES y OYSTERSHUCK El archivo JavaScript, llamado OYSTERFRESH, actúa como un dropper. Muestra un documento señuelo para distraer al usuario mientras escribe sigilosamente un payload ofuscado y cifrado, OYSTERBLUES, en el Registro de Windows. También descarga y lanza OYSTERSHUCK, que es responsable de decodificar OYSTERBLUES. OYSTERBLUES está diseñado para recopilar información del sistema, incluido el nombre del equipo, los detalles de la cuenta de usuario, la versión del sistema operativo, la hora del último arranque del sistema operativo y una lista de procesos en ejecución. Estos datos se envían luego a un servidor de comando y control (C2) a través de una solicitud HTTP POST. Tras la exfiltración inicial de datos, el malware espera instrucciones adicionales en forma de código JavaScript de siguiente etapa. Este código se ejecuta utilizando la función `eval()`. Se evalúa que el payload final es **Cobalt Strike**, un framework de simulación de adversarios comúnmente abusado para tareas de post-explotación.  ### Recomendaciones de Mitigación "Para reducir la probabilidad de que esta amenaza cibernética sea explotada, es aconsejable aplicar enfoques básicos conocidos para reducir la superficie de ataque, específicamente restringiendo la capacidad de ejecutar wscript.exe para cuentas de usuario estándar", aconsejó CERT-UA. ### IA en Ciberguerra y Operaciones de Influencia Esta divulgación se alinea con revelaciones recientes del Consejo de Seguridad Nacional y Defensa de Ucrania sobre el creciente uso de herramientas de inteligencia artificial (IA) por parte de Rusia. Estas herramientas, incluidas ChatGPT de **OpenAI** y Gemini de **Google**, se están utilizando para reconocimiento y selección de objetivos. Además, la IA se está integrando en el malware para generar comandos maliciosos en tiempo de ejecución. El Consejo destacó los principales vectores de ataque observados en 2025, que incluyeron ingeniería social, explotación de vulnerabilidades, cuentas RDP y VPN comprometidas, ataques a la cadena de suministro y el uso de software sin licencia que contiene backdoors integrados. ### Campaña de Propaganda Pro-Kremlin en Bluesky En un desarrollo separado, han surgido detalles sobre una campaña de propaganda pro-Kremlin que secuestró cuentas legítimas de usuarios de **Bluesky** para difundir contenido falso desde 2024. Los objetivos incluían periodistas y profesores. La actividad ha sido atribuida a **Social Design Agency**, una firma con sede en Moscú vinculada a la campaña Matryoshka. **Bluesky** ha respondido suspendiendo las cuentas afectadas a la espera de reinicios iniciados por el propietario.