Los cibercriminales han logrado robar millones de rublos de empresas rusas al dirigirse a las computadoras de los contadores y enmascarar transferencias fraudulentas como pagos legítimos de nómina, según un informe reciente. ### El Robo de Millones de Rublos de Hive0117 Investigadores de la firma rusa de ciberseguridad **F6** revelaron que el grupo con motivaciones financieras **Hive0117** llevó a cabo una serie de ataques de febrero a marzo de 2026, apuntando específicamente a departamentos de finanzas corporativas. Más de 3.000 organizaciones rusas fueron objetivo en esta campaña. ### Correos de Phishing e Infección de Malware Los atacantes iniciaron su campaña enviando correos electrónicos de phishing meticulosamente elaborados para infectar las computadoras de los contadores con malware, otorgándoles acceso no autorizado a los sistemas bancarios corporativos. El robo confirmado más grande superó los 14 millones de rublos (aproximadamente $178,000). Los correos de phishing fueron diseñados para parecer legítimos, a menudo originándose de cuentas comprometidas, incluida una que pertenecía a un desarrollador de aplicaciones web y móviles con sede en Moscú. Estos correos contenían archivos comprimidos protegidos con contraseña, disfrazados como documentos comerciales rutinarios como facturas y papeleo de envío. ### DarkWatchman RAT Abrir el archivo y ejecutar un archivo oculto llevó a la infección de la computadora de la víctima con **DarkWatchman**, un troyano de acceso remoto (RAT). Este RAT permitió a los atacantes mantener un control encubierto sobre los sistemas comprometidos. **DarkWatchman** permite la ejecución remota de comandos, la descarga de herramientas maliciosas adicionales y el movimiento lateral a través de la red de la empresa. Este malware se ha relacionado con **Hive0117** desde al menos 2021 y se distribuye comúnmente a través de campañas de phishing. ### Explotación de Mecanismos de Nómina Con el control de la máquina de un contador, los atacantes podían iniciar sesión en los portales de banca en línea corporativos e iniciar transacciones directamente desde el sistema comprometido, haciendo que la actividad pareciera legítima. Los hackers explotaron los mecanismos de nómina creando órdenes de pago vinculadas a cuentas bancarias que parecían pertenecer a empleados, pero que en realidad estaban controladas por los atacantes. Si estas transferencias eludían los controles antifraude del banco, los criminales podían retirar sumas sustanciales de las cuentas de la empresa. ### Historial y Alcance de Hive0117 **Hive0117** ha estado activo desde finales de 2021, apuntando principalmente a departamentos financieros en diversas industrias. Si bien los ataques recientes se centraron en organizaciones rusas, la actividad previa también ha afectado a usuarios en Lituania, Estonia, Bielorrusia y Kazajistán, según **F6**. Investigadores han indicado previamente que las operaciones del grupo no parecen estar conectadas al conflicto cibernético más amplio entre Rusia y Ucrania, y el origen de los atacantes sigue siendo desconocido. Esta campaña sigue a una actividad anterior reportada por **F6** el año pasado, donde el grupo utilizó una versión modificada de **DarkWatchman** para atacar a empresas rusas en múltiples sectores. En 2023, investigadores occidentales observaron a **Hive0117** suplantando comunicaciones del gobierno ruso en correos de phishing disfrazados de avisos de reclutamiento militar, otra campaña que desplegó el mismo malware.