APT28 intensifica el robo de credenciales contra UKR.net con campañas sostenidas y técnicas avanzadas

Introducción

Durante el último año, el grupo de ciberamenazas avanzado persistente APT28, conocido por su vinculación con agencias estatales rusas, ha incrementado de forma notable sus operaciones de robo de credenciales contra usuarios de UKR[.]net. Este servicio de correo web y noticias es uno de los más utilizados en Ucrania tanto por particulares como por entidades gubernamentales y empresariales, lo que lo convierte en un objetivo estratégico de alto valor. La campaña, detectada por el Insikt Group de Recorded Future entre junio de 2024 y abril de 2025, evidencia una evolución de las tácticas y técnicas empleadas por el actor, así como una sofisticación creciente en el uso de infraestructuras y herramientas.

Contexto del Incidente

La atribución a APT28, también conocido como Fancy Bear o Sofacy, se fundamenta en múltiples indicadores de compromiso (IoC) y patrones de actividad previamente observados. Este grupo ha sido responsable previamente de ataques dirigidos a procesos electorales, organismos gubernamentales y medios de comunicación en Europa y Estados Unidos. La campaña actual se alinea con los intereses geopolíticos rusos en Ucrania, en un contexto marcado por la intensificación del conflicto híbrido y la guerra de información. UKR[.]net, al ser una plataforma ampliamente usada en el país, representa un vector ideal para comprometer cuentas de correo electrónico, acceder a información sensible y facilitar ataques posteriores de spear phishing o movimientos laterales en redes corporativas.

Detalles Técnicos

La operación identificada por Insikt Group muestra un uso extensivo de técnicas de phishing dirigidas (spear phishing) y la explotación de vulnerabilidades conocidas en sistemas de autenticación web. Se han observado correos electrónicos fraudulentos que imitan comunicaciones oficiales de UKR[.]net, con enlaces a páginas de login clonadas cuidadosamente diseñadas para capturar las credenciales de acceso.

– **Vulnerabilidades y CVE**: Hasta el momento, no se ha reportado la explotación directa de vulnerabilidades tipo CVE en la infraestructura de UKR[.]net. Sin embargo, se han detectado campañas paralelas de credential stuffing que aprovechan fugas de contraseñas previas, junto a ataques de fuerza bruta automatizados.
– **TTPs y MITRE ATT&CK**: La campaña emplea técnicas como Phishing (T1566), Credential Harvesting (T1110), Valid Accounts (T1078) y Command and Control (T1071.001). La infraestructura de mando y control utiliza dominios registrados ad hoc y servidores proxy para dificultar el rastreo.
– **Herramientas y Frameworks**: Se han utilizado kits de phishing personalizados y, en ocasiones, frameworks como Evilginx2 para realizar ataques de proxy inverso y superar mecanismos de autenticación multifactor (MFA bypass). No se descarta el uso de Cobalt Strike para el movimiento lateral tras la obtención de credenciales.
– **Indicadores de Compromiso (IoCs)**: Dominios y direcciones IP asociados a la infraestructura de phishing, certificados TLS autofirmados y patrones de User-Agent anómalos han sido identificados y compartidos con la comunidad de ciberinteligencia.

Impacto y Riesgos

Las consecuencias de esta campaña son significativas. Se estima que al menos un 5% de los usuarios activos de UKR[.]net han estado expuestos a intentos de phishing, con tasas de éxito variables según las capas de protección implementadas. El robo de credenciales puede facilitar el acceso a información confidencial, interceptación de comunicaciones, suplantación de identidad y escalada de privilegios en redes de organismos públicos y empresas privadas. El riesgo se amplifica ante la posibilidad de que las credenciales obtenidas sean reutilizadas en otros servicios, siguiendo la tendencia de ataques de credential stuffing.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de esta campaña, se recomienda:

– Fortalecer la autenticación multifactor (MFA) y revisar su resistencia ante ataques de proxy inverso.
– Implementar políticas de rotación y robustez de contraseñas, así como monitorizar accesos sospechosos.
– Desplegar soluciones de detección de phishing basadas en inteligencia de amenazas y análisis de comportamiento.
– Compartir IoCs actualizados con equipos SOC y CERT nacionales.
– Sensibilizar a los usuarios sobre las técnicas de phishing empleadas, especialmente a empleados de entidades críticas.

Opinión de Expertos

Expertos consultados por Recorded Future subrayan la sofisticación creciente de APT28 en la ingeniería social y la personalización de los ataques. Según el analista jefe de Insikt Group, «el uso de herramientas como Evilginx2 para eludir MFA representa un salto cualitativo en el arsenal de los grupos APT rusos, que están priorizando la persistencia y el acceso prolongado a cuentas de alto valor».

Implicaciones para Empresas y Usuarios

La campaña evidencia la necesidad de reforzar la seguridad en servicios de correo web y la vigilancia continua sobre credenciales corporativas. En el contexto del GDPR y la inminente entrada en vigor de la directiva NIS2, las organizaciones ucranianas y europeas deben extremar el control sobre accesos y la notificación de incidentes, so pena de sanciones económicas que pueden superar los 10 millones de euros o el 2% de la facturación global.

Conclusiones

La sostenida campaña de APT28 contra UKR[.]net confirma la orientación estratégica de las operaciones cibernéticas rusas y el perfeccionamiento constante de sus técnicas de ataque. Frente a un panorama de amenazas en el que la ingeniería social y el robo de credenciales siguen siendo vectores prioritarios, resulta crítico reforzar la defensa en profundidad, la educación de usuarios y la colaboración internacional en la respuesta a incidentes.

(Fuente: feeds.feedburner.com)