Funcionarios de ciberseguridad ucranianos han confirmado que varias agencias gubernamentales locales han sido blanco de una campaña de ciberespionaje de larga duración atribuida a un grupo de hackers vinculado al estado ruso. **Taras Dzyuba**, jefe del departamento de comunicaciones de información del **Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP)**, declaró a Recorded Future News que las autoridades están al tanto de los ataques, que según investigadores occidentales comprometieron cuentas de correo electrónico pertenecientes a fiscales e investigadores ucranianos. A principios de esta semana, Reuters informó que hackers vinculados a Rusia habían irrumpido en más de 170 cuentas de correo electrónico pertenecientes a fiscales e investigadores en toda Ucrania en los últimos meses. Según Dzyuba, la actividad descrita en el informe de Reuters parece ser parte de una campaña más amplia que las autoridades ucranianas han estado rastreando desde 2023. El equipo de respuesta a emergencias informáticas de Ucrania (**CERT-UA**) ha identificado tres oleadas de ataques que probablemente forman parte de la misma campaña. ### Explotadas vulnerabilidades de Roundcube Las intrusiones explotaron vulnerabilidades en la plataforma de webmail de código abierto **Roundcube** que permiten a los atacantes ejecutar código malicioso cuando una víctima simplemente abre un correo electrónico en su bandeja de entrada, sin necesidad de hacer clic en enlaces o descargar archivos adjuntos. Esto resalta la necesidad crítica de parchear y gestionar vulnerabilidades, incluso en soluciones de código abierto ampliamente utilizadas. Dzyuba dijo que parte de la información supuestamente robada durante estos ataques de varias agencias estatales ucranianas se publicó en línea a principios de marzo, pero agregó que era poco probable que el material filtrado contuviera datos confidenciales. Afirmó que Rusia podría utilizar estos incidentes cibernéticos como base para campañas de desinformación destinadas a desacreditar a las instituciones ucranianas. ### Atribución a APT28 Investigadores de Ctrl-Alt-Intel atribuyeron la campaña al grupo de hackers **APT28**, también conocido como **Fancy Bear**, **BlueDelta** o **Forest Blizzard**, que los gobiernos occidentales y las empresas de ciberseguridad creen ampliamente que está vinculado a la agencia de inteligencia militar de Rusia, el **GRU**. Dzyuba confirmó que todas las indicaciones apuntan a este grupo. CERT-UA ha informado previamente de varios ataques de APT28 que explotan vulnerabilidades de Roundcube. Según un informe de Ctrl-Alt-Intel, la mayoría de las víctimas de la última campaña se encontraban en Ucrania, aunque algunas cuentas comprometidas estaban vinculadas a países vecinos de la OTAN y los Balcanes, incluyendo Rumania, Bulgaria, Grecia y Serbia. ### Instituciones afectadas Entre las instituciones ucranianas supuestamente afectadas se encontraban la **Oficina del Fiscal Especializada Anticorrupción (SAP)** y la **Agencia de Recuperación y Gestión de Activos (ARMA)**, que supervisa los activos incautados a criminales y colaboradores rusos. La jefa interina de ARMA, **Yaroslava Maksymenko**, confirmó el jueves que los empleados de la agencia habían sido blanco de un ciberataque ruso, pero dijo que los hackers no lograron acceder a sus sistemas internos. “La revisión estableció que no se obtuvo acceso a los sistemas de información internos, y no se produjo ninguna fuga de datos de bases de datos o recursos de información estatales”, dijo Maksymenko en una declaración a la agencia de noticias Interfax-Ucrania. La SAP dijo a principios de esta semana que había iniciado una revisión tras los informes de que hackers rusos habían violado docenas de cuentas de correo electrónico pertenecientes a funcionarios encargados de hacer cumplir la ley ucranianos, incluidos los de la agencia. Hasta ahora, los investigadores no han encontrado pruebas de que se hayan robado datos de los sistemas de la SAP, aunque la revisión está en curso.