## UAC-0247 apunta a entidades ucranianas con malware para robo de datos El **Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA)** ha revelado una nueva campaña dirigida a instituciones gubernamentales y de atención médica municipal ucranianas, incluyendo clínicas y hospitales de emergencia. Los ataques entregan malware diseñado para robar datos sensibles de navegadores web basados en Chromium y **WhatsApp**. ### Detalles de la Campaña La actividad maliciosa, observada entre marzo y abril de 2026, ha sido atribuida a un clúster de amenazas denominado **UAC-0247**. Los orígenes de esta campaña son actualmente desconocidos. Según **CERT-UA**, el ataque comienza con un correo electrónico que afirma ofrecer ayuda humanitaria. Se insta a los destinatarios a hacer clic en un enlace que redirige a un sitio web legítimo comprometido a través de una vulnerabilidad de cross-site scripting (XSS) o a un sitio falso creado utilizando herramientas de inteligencia artificial (IA). Independientemente del sitio, el objetivo es descargar y ejecutar un archivo Windows Shortcut (LNK). Este archivo luego ejecuta una aplicación remota HTML (HTA) utilizando la utilidad nativa de Windows, `mshta.exe`. El archivo HTA muestra un formulario señuelo para distraer a la víctima mientras obtiene un binario que inyecta shellcode en un proceso legítimo, como `runtimeBroker.exe`. "Al mismo tiempo, campañas recientes han registrado el uso de un cargador de dos etapas, cuya segunda etapa se implementa utilizando un formato de archivo ejecutable propietario (con soporte completo para secciones de código y datos, importación de funciones de bibliotecas dinámicas y reubicación), y el payload final está adicionalmente comprimido y cifrado", dijo **CERT-UA**. Uno de los stagers es una herramienta llamada TCP reverse shell o su equivalente, rastreada como **RAVENSHELL**, que establece una conexión TCP con un servidor de gestión para recibir comandos para su ejecución en el host utilizando `cmd.exe`. También se descarga en la máquina infectada la familia de malware **AGINGFLY** y un script de **PowerShell** llamado **SILENTLOOP**. **SILENTLOOP** incluye funciones para ejecutar comandos, actualizar automáticamente la configuración y obtener la dirección IP actual del servidor de gestión desde un canal de **Telegram**, con mecanismos de respaldo para determinar la dirección de comando y control (C2). Desarrollado en C#, **AGINGFLY** está diseñado para el control remoto de sistemas comprometidos. Se comunica con un servidor C2 utilizando WebSockets para obtener comandos que le permiten ejecutar comandos, lanzar un keylogger, descargar archivos y ejecutar payloads adicionales.  ### Exfiltración de Datos y Herramientas Una investigación de aproximadamente una docena de incidentes reveló que estos ataques facilitan el reconocimiento, el movimiento lateral y el robo de credenciales y otros datos sensibles de **WhatsApp** y navegadores basados en Chromium. Esto se logra desplegando varias herramientas de código abierto, incluyendo: * **ChromElevator**: Un programa diseñado para eludir las protecciones de cifrado enlazado a aplicaciones (ABE) de Chromium y recolectar cookies y contraseñas guardadas. * **ZAPiXDESK**: Una herramienta de extracción forense para descifrar bases de datos locales de **WhatsApp** Web. * **RustScan**: Un escáner de red. * **Ligolo-Ng**: Una utilidad ligera para establecer túneles desde conexiones TCP/TLS inversas. * **Chisel**: Una herramienta para tunelizar tráfico de red a través de TCP/UDP. * **XMRig**: Un minero de criptomonedas. ### Ataque a las Fuerzas de Defensa Ucranianas La agencia también encontró evidencia que sugiere que representantes de las Fuerzas de Defensa de Ucrania pueden haber sido el objetivo como parte de la campaña. Esto se basa en la distribución de archivos ZIP maliciosos a través de **Signal** diseñados para desplegar **AGINGFLY** utilizando la técnica de carga lateral de DLL. ### Mitigación Para mitigar el riesgo asociado con esta amenaza y minimizar la superficie de ataque, se recomienda restringir la ejecución de archivos LNK, HTA y JS, junto con utilidades legítimas como `mshta.exe`, `powershell.exe` y `wscript.exe`.