Ataque PhantomCaptcha: Nueva campaña de spear-phishing emplea WebSocket para C2 en organizaciones humanitarias

Introducción

En el panorama actual de ciberamenazas, las organizaciones humanitarias y de ayuda a zonas en conflicto se han convertido en objetivos prioritarios para actores maliciosos, especialmente en el contexto de la guerra en Ucrania. Recientemente, investigadores en ciberseguridad han revelado los detalles de una sofisticada campaña de spear-phishing, identificada como PhantomCaptcha, que ha afectado a entidades involucradas en labores de apoyo humanitario y asistencia a refugiados. Este ataque, detectado el 8 de octubre de 2025, destaca por el uso de canales WebSocket para el control remoto del malware (C2), representando un salto cualitativo en las TTPs (Tácticas, Técnicas y Procedimientos) empleadas contra el tercer sector y ONG.

Contexto del Incidente

La campaña PhantomCaptcha ha sido dirigida específicamente contra miembros individuales de organizaciones como el Comité Internacional de la Cruz Roja (ICRC), el Consejo Noruego para Refugiados (NRC) y diversas ONG implicadas en la coordinación de ayuda en Ucrania. El ataque coincide con un aumento en la sofisticación de las amenazas dirigidas hacia infraestructuras civiles y humanitarias en zonas de conflicto, donde la información sensible sobre personal, rutas de suministro y donantes es de alto valor estratégico.

El acceso inicial se ha realizado a través de correos electrónicos cuidadosamente personalizados (spear-phishing), suplantando entidades legítimas y utilizando señuelos temáticos relacionados con reuniones, informes de situación o solicitudes de colaboración urgente, lo que aumenta la tasa de éxito frente a campañas de phishing masivo convencionales.

Detalles Técnicos

La carga maliciosa principal distribuida es un troyano de acceso remoto (RAT) aún sin clasificar, aunque investigadores han identificado patrones similares a familias como AsyncRAT y QuasarRAT, con adaptaciones notables. El vector de entrega inicial es un archivo adjunto de Microsoft Office (principalmente .docx y .xlsx), que explota macros maliciosas para descargar el ejecutable del RAT. Se ha observado la explotación de vulnerabilidades conocidas como CVE-2017-11882 (Microsoft Equation Editor) en algunos casos, para incrementar la tasa de infección en sistemas sin parches.

Lo más destacable de PhantomCaptcha es el uso de WebSocket como canal de comunicación C2, permitiendo eludir controles de red tradicionales y dificultando la detección por parte de IDS convencionales, que suelen centrarse en tráfico HTTP/S o DNS sospechoso. El malware establece una conexión persistente y cifrada con un servidor C2 remoto, permitiendo a los atacantes ejecutar comandos, exfiltrar documentos, capturar credenciales mediante keylogging e incluso controlar webcams y micrófonos.

Entre los IoC (Indicadores de Compromiso) identificados destacan los siguientes dominios y direcciones IP asociadas al C2, así como hashes de los ejecutables empleados. El framework MITRE ATT&CK clasifica las TTPs observadas principalmente bajo T1566.001 (Phishing: Spearphishing Attachment), T1105 (Ingress Tool Transfer), T1071.001 (Application Layer Protocol: Web Protocols) y T1059 (Command and Scripting Interpreter).

Impacto y Riesgos

La campaña ha conseguido comprometer a un número estimado de entre el 8 y el 12% de los destinatarios en las organizaciones atacadas, según los datos preliminares de los investigadores. El acceso obtenido permite a los atacantes robar documentación interna crítica, listas de personal, información sobre donantes y, potencialmente, datos de operaciones logísticas. El riesgo de filtraciones masivas y ciberespionaje es elevado, y podría derivar en sanciones regulatorias bajo marcos como el GDPR, dado el manejo de datos personales sensibles.

El uso de WebSocket para C2 aumenta significativamente la dificultad de detección y respuesta, ya que el tráfico suele estar permitido por defecto en muchas redes corporativas y puede camuflarse fácilmente como conexiones legítimas de aplicaciones web.

Medidas de Mitigación y Recomendaciones

Se recomienda aplicar una defensa en profundidad que combine:

– Actualización urgente de sistemas y aplicaciones, particularmente parches relacionados con Microsoft Office (CVE-2017-11882).
– Desactivación de macros por defecto y sensibilización avanzada sobre spear-phishing para usuarios con acceso a información crítica.
– Monitorización de tráfico saliente, enfocado en conexiones WebSocket anómalas y análisis de patrones de comportamiento mediante EDR.
– Implementación de reglas YARA e integración de IoC en SIEM/SOC para detección proactiva.
– Revisión de políticas de acceso y segmentación de red para limitar el movimiento lateral.

Opinión de Expertos

Analistas de ciberinteligencia señalan que “el uso de WebSocket para C2 marca una evolución significativa en las campañas dirigidas, dificultando la atribución y contención. La personalización extrema de los correos de spear-phishing se apoya en inteligencia previa sobre el sector, lo que resalta la necesidad de un enfoque proactivo en la protección de organizaciones humanitarias, tradicionalmente menos preparadas para amenazas avanzadas”.

Implicaciones para Empresas y Usuarios

Las organizaciones humanitarias, aunque no siempre consideradas infraestructuras críticas, manejan información altamente sensible y son objetivos de alto valor para actores estatales y criminales. Para los responsables de seguridad (CISO), resulta esencial actualizar sus estrategias de defensa, incorporar inteligencia de amenazas y reforzar la colaboración con equipos sectoriales. Para usuarios y empleados, la concienciación y la formación avanzada en detección de amenazas es un pilar fundamental.

Conclusiones

La campaña PhantomCaptcha evidencia el incremento de la sofisticación en ataques dirigidos a organizaciones humanitarias, combinando spear-phishing avanzado y RATs con C2 basado en WebSocket. La rápida adaptación de los actores maliciosos a nuevas técnicas subraya la importancia de una vigilancia continua, la actualización proactiva de defensas y la colaboración sectorial para mitigar riesgos y proteger la integridad de operaciones críticas.

(Fuente: feeds.feedburner.com)