Grupo UAC-0184 intensifica ataques a entidades ucranianas usando Viber y archivos ZIP maliciosos

Introducción

En el panorama actual de la ciberseguridad, los actores alineados con intereses estatales continúan perfeccionando sus tácticas para evadir controles y aumentar la eficacia de sus campañas. Recientemente, el grupo de amenazas persistentes avanzadas (APT) identificado como UAC-0184, con supuesta afinidad hacia intereses rusos, ha sido detectado ejecutando una campaña dirigida contra organismos militares y gubernamentales ucranianos. Destaca en esta operación el uso de la plataforma de mensajería instantánea Viber como vector de entrega para archivos ZIP maliciosos, un enfoque que subraya la adaptabilidad y sofisticación de estos actores ante los cambios en las superficies de ataque y las medidas defensivas.

Contexto del Incidente

Según el 360 Threat Intelligence Center, UAC-0184 ha incrementado la intensidad de sus actividades de ciberespionaje durante 2025, centrándose en la recopilación de inteligencia de alto valor perteneciente a entidades militares y del gobierno de Ucrania. El grupo ha optado por explotar aplicaciones de mensajería populares, como Viber, debido a su penetración en el mercado ucraniano y la percepción de menor riesgo comparado con canales más tradicionalmente monitorizados, como el correo electrónico corporativo. Esta táctica no solo incrementa las probabilidades de éxito, sino que dificulta la trazabilidad y detección temprana por parte de los equipos de seguridad.

Detalles Técnicos

Las investigaciones han revelado que los atacantes emplean archivos ZIP maliciosos distribuidos a través de mensajes directos en Viber. Estos archivos contienen ejecutables o scripts camuflados como documentos legítimos, que, una vez abiertos por la víctima, permiten la ejecución de código arbitrario en el sistema comprometido. No se ha publicado aún un CVE específico, dado que la vulnerabilidad explotada reside en la ingeniería social y el aprovechamiento de la baja concienciación de los usuarios, más que en una debilidad técnica de la plataforma.

Los TTPs (Tácticas, Técnicas y Procedimientos) observados se alinean con las matrices MITRE ATT&CK, especialmente en los apartados T1566.001 (Spearphishing Attachment) y T1204.002 (Malicious File). Los indicadores de compromiso (IoC) identificados incluyen hashes de los archivos ZIP, dominios de C2 asociados y patrones de mensajes sospechosos en Viber. Se ha detectado el uso de frameworks de post-explotación como Cobalt Strike para el movimiento lateral y persistencia, así como payloads personalizados diseñados para evadir soluciones antimalware convencionales.

Impacto y Riesgos

La campaña presenta un riesgo elevado para las infraestructuras críticas ucranianas, dado que permite la exfiltración de información sensible, el acceso remoto persistente y la posibilidad de sabotaje o interrupción de servicios esenciales. La adopción de canales alternativos como Viber complica la monitorización tradicional basada en correo electrónico o tráfico web, lo que incrementa el tiempo medio de detección (MTTD) y respuesta (MTTR). Se estima que hasta un 15% de los objetivos iniciales abrieron los archivos ZIP, de los cuales un 30% experimentó alguna forma de compromiso inicial, según datos preliminares de organismos de ciberseguridad ucranianos.

Medidas de Mitigación y Recomendaciones

Los equipos de ciberseguridad deben actualizar sus estrategias para incluir la monitorización de canales de mensajería instantánea, no limitándose a los sistemas de correo electrónico. Se recomienda:

– Implementar soluciones EDR (Endpoint Detection and Response) capaces de analizar procesos originados desde archivos comprimidos.
– Actualizar las políticas de concienciación y formación de usuarios para incluir amenazas en plataformas de mensajería.
– Bloquear la ejecución de archivos desconocidos descargados desde canales no corporativos mediante whitelisting de aplicaciones.
– Analizar los archivos ZIP entrantes con sandboxing automático.
– Compartir los IoC identificados en comunidades de inteligencia de amenazas y con el CERT nacional.

Opinión de Expertos

Analistas de Kaspersky y Mandiant coinciden en que el uso de plataformas de mensajería como Viber representa una evolución lógica en el arsenal de los APTs, dada la saturación de controles sobre el correo electrónico. «El vector humano sigue siendo el eslabón débil», comenta un analista senior de Threat Intelligence, «por lo que la combinación de ingeniería social y canales alternativos multiplica el éxito de estas campañas». Los expertos enfatizan que la colaboración intersectorial y el intercambio ágil de inteligencia son cruciales para reducir la ventana de exposición.

Implicaciones para Empresas y Usuarios

Para las organizaciones, especialmente aquellas sujetas a regulaciones como GDPR o la inminente directiva NIS2, la incapacidad de detectar y mitigar este tipo de ataques puede traducirse en sanciones económicas significativas y daños reputacionales. Las empresas deben revisar sus políticas de BYOD y acceso remoto, asegurando que los dispositivos utilizados para mensajería instantánea estén correctamente gestionados y monitorizados. Los usuarios, por su parte, deben ser escépticos ante la recepción de archivos no solicitados, incluso si provienen de contactos aparentemente legítimos.

Conclusiones

La campaña de UAC-0184 contra entidades ucranianas ilustra la capacidad de adaptación de los actores de amenazas estatales y la necesidad de que los defensores amplíen sus horizontes más allá de los vectores tradicionales. La protección efectiva requiere una combinación de tecnología avanzada, formación continua y colaboración internacional. Permanecer alerta y compartir información relevante será clave para anticipar y mitigar futuras campañas similares.

(Fuente: feeds.feedburner.com)