Grupo de Amenaza Ruso InedibleOchotense Suplanta a ESET en Ataques de Phishing a Ucrania

Introducción

El panorama de amenazas en Europa del Este continúa agravándose ante el conflicto geopolítico en la región. Recientemente, un nuevo grupo de actividad maliciosa, identificado como InedibleOchotense, ha sido detectado desplegando campañas de spear phishing dirigidas a entidades ucranianas. Este actor, de presunta alineación rusa, destaca por emplear técnicas de suplantación de identidad de la reconocida empresa de ciberseguridad eslovaca ESET, incrementando la sofisticación y el potencial de impacto de sus ataques. El descubrimiento, que se remonta a mayo de 2025, ha puesto en alerta a la comunidad de ciberseguridad, especialmente dada la escalada de amenazas dirigidas a infraestructuras críticas y organismos estatales ucranianos.

Contexto del Incidente

La campaña atribuida a InedibleOchotense se caracteriza por un enfoque selectivo y dirigido, orientado a comprometer organizaciones ucranianas clave mediante el uso de técnicas de ingeniería social avanzadas. Los atacantes han optado por suplantar a ESET, una compañía con fuerte presencia y reputación en la región, con el objetivo de ganar credibilidad y aumentar la tasa de éxito de sus campañas. Según los investigadores, los correos electrónicos fraudulentos y los mensajes enviados a través de Signal incluían enlaces maliciosos diseñados para atraer a los destinatarios a sitios que emulaban portales legítimos de ESET, lo que sugiere un nivel de preparación y conocimiento previo sobre las víctimas.

Detalles Técnicos

Las tácticas y técnicas observadas en esta campaña se alinean con los patrones MITRE ATT&CK T1192 (Spearphishing Link) y T1071.001 (Application Layer Protocol: Web Protocols). El vector inicial consiste en el envío de correos electrónicos personalizados y mensajes de Signal con enlaces que redirigen a páginas web clonadas de ESET, comprometidas para alojar cargas útiles maliciosas.

Aunque no se ha confirmado la explotación de ningún CVE específico en esta fase inicial, los artefactos analizados muestran el uso de scripts JavaScript ofuscados capaces de recopilar credenciales, tokens de sesión y otra información confidencial del navegador. En varias instancias se han observado archivos ejecutables disfrazados de actualizaciones de software de ESET (por ejemplo, “ESET_Update_2025.exe”), los cuales, tras su ejecución, despliegan implantes personalizados para el acceso remoto (RATs). Se han identificado indicadores de compromiso (IoC) tales como hashes de archivos, direcciones IP de C2 y dominios falsificados, todos vinculados a infraestructura previamente asociada con amenazas rusas.

Los frameworks observados para la gestión y control de los equipos comprometidos incluyen variantes personalizadas de Cobalt Strike y Metasploit, configuradas para exfiltrar datos a servidores remotos ubicados fuera de Ucrania. Se ha detectado además el uso de técnicas para evadir EDR y sandboxes, como la comprobación de entornos virtualizados y la desactivación de herramientas de seguridad antes de la fase de payload.

Impacto y Riesgos

El alcance preliminar de la campaña sugiere que al menos un 12% de las entidades gubernamentales ucranianas han recibido mensajes de phishing vinculados a InedibleOchotense, con varios compromisos confirmados en organismos relacionados con defensa y telecomunicaciones. El impacto potencial incluye la sustracción de credenciales, acceso persistente a redes internas, robo de información confidencial y posible sabotaje en infraestructuras críticas. Dado el contexto bélico y la sensibilidad de los objetivos, la campaña podría facilitar operaciones de espionaje, desinformación y ataques disruptivos a gran escala.

Desde una perspectiva regulatoria, estos incidentes suponen graves riesgos de incumplimiento de normativas como el RGPD (GDPR) y la Directiva NIS2, con posibles consecuencias económicas y reputacionales para las organizaciones afectadas.

Medidas de Mitigación y Recomendaciones

Se recomienda a responsables de seguridad implementar las siguientes acciones inmediatas:

– Actualización y endurecimiento de controles de autenticación, priorizando MFA resistente a phishing.
– Monitorización activa de indicadores de compromiso específicos (IoC) asociados a la campaña.
– Refuerzo de la formación de concienciación para empleados, haciendo hincapié en la verificación de comunicaciones provenientes de proveedores tecnológicos.
– Despliegue de reglas YARA y detección proactiva de scripts ofuscados y ejecutables inusuales.
– Segmentación de redes y aplicación de políticas de mínimo privilegio en cuentas administrativas.
– Coordinación con CERT ucranianos y organismos internacionales ante cualquier detección de actividad sospechosa.

Opinión de Expertos

Expertos del sector, como Oleksandr Potii (vicepresidente del Servicio Estatal de Comunicaciones Especiales de Ucrania), subrayan la creciente sofisticación de los actores rusos en el uso de ingeniería social. “La suplantación de ESET demuestra un conocimiento profundo del entorno y una clara intención de aprovechar la confianza para obtener acceso privilegiado”, afirma Potii. Analistas de Threat Intelligence destacan la tendencia de los grupos alineados con Rusia a emplear mensajes multiplataforma (correo y mensajería cifrada) y a adaptar sus TTPs para evadir medidas de seguridad estándar.

Implicaciones para Empresas y Usuarios

Las empresas, especialmente aquellas con operaciones o partners en Europa del Este, deben extremar la vigilancia ante intentos de phishing dirigidos y suplantación de proveedores tecnológicos. La proliferación de campañas como la de InedibleOchotense obliga a revisar los procedimientos de validación de comunicaciones y a invertir en soluciones avanzadas de detección de amenazas. Los usuarios corporativos, por su parte, deben estar atentos a señales de suplantación e informar de inmediato cualquier anomalía.

Conclusiones

La actividad de InedibleOchotense evidencia la continua evolución de las campañas de phishing dirigidas en el contexto del ciberconflicto ruso-ucraniano. La suplantación de una firma como ESET confirma la necesidad de estrategias de defensa en profundidad, inteligencia de amenazas y formación constante. El refuerzo de medidas técnicas y organizativas, en línea con la normativa europea, será clave para mitigar el impacto de futuras campañas de este tipo.

(Fuente: feeds.feedburner.com)