Una campaña de ingeniería social centrada en los conflictos difunde programas RAT por toda Europa del Este
17 de octubre de 2025
Por Samantha Clarke y el equipo de investigación de amenazas de Mimecast
- MCTO1025, también conocido como UCA-0050, es un grupo dedicado a la ciberdelincuencia que lleva a cabo una campaña continuada desde hace un año dirigida contra Ucrania, Rumanía y Moldavia desde una única infraestructura con número ASN.
- Sofisticadas campañas de ingeniería social en las que se suplantaba la identidad de los servicios de seguridad ucranianos y rusos, así como comunicaciones sobre planes de evacuación y movilización militar
- Se ha producido un ataque informático de gran repercusión contra el canal moldavo TV8, que se utilizó para operaciones de autopromoción y desinformación en enero de 2024
- Campañas de reclutamiento que ofrecen "un paso seguro" hacia Rusia, diseñadas para facilitar las operaciones de blanqueo de dinero y la recopilación de información
- La distribución de malware se centra en troyanos de acceso remoto de uso general, entre los que se incluyen QasarRAT, RemoteUtilities, RemcosRAT y RuRAT
- Entre las últimas novedades de la campaña destaca el despliegue del cargador AnonVNC suplantando la identidad del Servicio de Seguridad de Ucrania
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast sigue vigilando la actividad maliciosa continuada llevada a cabo desde 2023 por MCTO1025, un grupo de ciberdelincuentes que ha mantenido operaciones constantes dirigidas contra Ucrania y los países vecinos, Rumanía y Moldavia. Esta operación demuestra un profundo conocimiento de las tensiones geopolíticas regionales y aprovecha los temas relacionados con los conflictos para lograr elevadas tasas de participación de las víctimas entre las poblaciones destinatarias. Las operaciones del MCTO1025 abarcan diversos enfoques de ingeniería social diseñados para aprovechar la situación de conflicto actual y los problemas humanitarios asociados a ella.
Entre los temas de la campaña se incluyen la suplantación de identidad de los servicios de seguridad ucranianos y rusos, la difusión de planes falsos de evacuación ante ataques aéreos, comunicaciones fraudulentas sobre movilización militar y ofertas de paso seguro desde las zonas de conflicto.
Campañas destacadas de 2024
Hack de TV8 Moldavia
A principios de enero de 2024, la cuenta de correo electrónico del canal de televisión moldavo TV8 fue pirateada y utilizada para enviar mensajes con el asunto «Comunicado de prensa de TV8 - Пресс - Релиз от телекомпании TV8», en los que se ofrecía una entrevista con el fundador de un grupo. Traducida del ruso original, la siguiente explicación apareció en mediacritica.md: [El correo electrónico oficial de TV8 ha sido objeto de un ciberataque.] Comentario del canal de televisión - Mediacritica ]
En la noche del 8 al 9 de enero, el correo electrónico oficial de TV8 fue objeto de un ciberataque. Según este medio de comunicación, los atacantes, en nombre del canal de televisión, enviaron un mensaje a varias personas y organismos en el que afirmaban que un periodista de la redacción de la página web Tv8.md había entrevistado al fundador del grupo de hackers DaVinci Group-DVG8873, que se autodefine como una fuerza cibernética independiente " contra Ucrania y los países de la OTAN." En unas declaraciones a Mediacritica, la redactora jefe de TV8, Mariana Rață, señaló que no es la primera vez que los medios de comunicación moldavos han sido objeto de ciberataques.
Según las comprobaciones realizadas por los especialistas técnicos de TV8, el ataque se llevó a cabo desde una dirección IP gestionada desde un servidor ubicado en Ámsterdam, Países Bajos. "La propietaria de la empresa de alojamiento web es la sociedad británica Aeza International LTD, fundada por un ciudadano de Kazajistán: Marat Timurov. Aeza International es una de las empresas de alojamiento web más populares de Rusia y aparece en varios sitios web especializados como una empresa rusa. TV8 se puso en contacto con esta empresa para solicitarle información sobre los usuarios de la dirección IP desde la que se llevó a cabo el ciberataque, pero aún no hemos recibido respuesta, según ha declarado Mariana Rață, de «" ».
Según la fuente, «esa misma noche, el correo electrónico de la empresa estatal Moldelectrica también fue objeto de un ciberataque similar». «Se envió el mismo mensaje de texto desde el correo electrónico corporativo de Moldelectrica».
Las campañas de acoso en línea, el pirateo de cuentas en redes sociales, los ataques DDoS (denegación de servicio distribuida) o el phishing son solo algunas de las amenazas digitales a las que se enfrenta la prensa en la República de Moldavia, según un estudio publicado por el Centro de Periodismo Independiente. Los representantes de varios medios de comunicación incluidos en el estudio señalaron que, en 2023, especialmente durante los meses de agosto y septiembre, sus sitios web fueron objeto de ataques DDoS, lo que provocó interrupciones que duraron desde unos minutos hasta varias horas.
El director del portal SP.md, Veaceslav Perunov, confirmó que el medio de comunicación que dirige fue objeto de ataques DDoS en agosto de 2023, momento en el que varios medios de comunicación sufrieron este fenómeno de forma simultánea. «La página dejó de funcionar, pero no por mucho tiempo». «Nuestro servidor aguantó», afirmó Perunov. La editora del portal Studio-L, Renata Lupachescu, se refirió al ataque ocurrido en septiembre de 2023: «Fuimos víctimas de un ataque DDoS; la página dejó de funcionar y estuvo inactiva durante unas cuatro horas, tras lo cual resolvimos el problema». Entre octubre y noviembre de 2023, Nokta.md sufrió ataques DDoS en cuatro o cinco ocasiones, y TV8 sufrió este tipo de ataques en tres ocasiones
Un viaje seguro a Rusia
A finales de enero de 2024, el grupo comenzó a enviar correos electrónicos haciéndose pasar por agentes del FSB y ofreciendo un «paso seguro» a Rusia a cambio de «la realización anónima de tareas a cambio de recompensas económicas». [Este tipo de «encargos» suele ir casi siempre asociado al reclutamiento de «mulas» para el blanqueo de dinero.]
Cargador de AnonVNC
Las campañas llevadas a cabo a mediados de agosto de 2024 consistieron en la difusión de un programa de carga relativamente nuevo, conocido como AnonVNC, a través de campañas que se hacían pasar por los Servicios de Seguridad de Ucrania (SBU). Esto fue confirmado posteriormente por CERT-UA, [https://cert.gov.ua/article/6280345 ] pero se le ha asignado una clasificación diferente, a pesar de las similitudes con campañas anteriores.
El análisis técnico revela que MCTO1025 se decanta por malware de uso general que ofrece capacidades fiables de acceso remoto y, al mismo tiempo, mantiene un bajo perfil de detección. Los métodos de distribución del grupo incluyen tanto cargas útiles alojadas en direcciones URL como archivos adjuntos de correo electrónico en formato RAR dividido, lo que demuestra una flexibilidad táctica diseñada para eludir diversos controles de seguridad y maximizar el número de infecciones exitosas en distintos entornos objetivo.
Protección de Mimecast
Mimecast ha implementado capacidades de detección dirigidas a las tácticas específicas de MCTO1025, entre las que se incluyen el análisis de patrones de ingeniería social relacionados con conflictos, los métodos de distribución de RAT genéricos y el uso característico que hace el grupo de plataformas legítimas de intercambio de archivos para alojar cargas útiles.
Destinatarios
Principalmente organizaciones ucranianas de todos los sectores, aunque también se dirige, en menor medida, a entidades rumanas y moldavas, en particular a aquellas pertenecientes a los sectores gubernamental, de los medios de comunicación y de las infraestructuras críticas.
Indicadores de compromiso (IOC)
Dominios maliciosos:
- privat24x[.]com
- gbshost[.]com
- 8161[.]uk (página de inicio de Da Vinci Special Agency)
URL maliciosas:
- hxxps://bitbucket[.]org/ukgas/medoc/downloads/scan_docs_023747_medoc.zip
- hxxps://bitbucket[.]org/privatbank/obmen/downloads/Електронні_акт_094584_Приватбанк24.7z
- hxxps://bitbucket[.]org/filedataup/up/downloads/Документи.zip
- hxxps://bitbucket[.]org/court_gov_ua/files/downloads/Dokumenty.zip
- hxxps://bitbucket[.]org/files_gov_ua/file/downloads/files.7z
- hxxps://drive.google[.]com/file/d/1LesqoxORcvaUbLN2O3KRNEN0z1qRLmFE/vie
- hxxps://drive.google[.]com/file/d/1EipxNQZfEMcr0D0v3bg9VHhhuBQfRKvK/view?usp=drive_link
- hxxps://drive.google[.]com/file/d/1byrqOmYvSFPAlUvw_Uwh8S_ziMC3T7UU/view
- hxxps://drive.google[.]com/file/d/1PD6UgmqTzAqOWjAkp2OBWUWBc5HWDIaS
Muestras de malware (SHA256):
- de9f2262970884a7412c3b2fba2cb2fb9329ccf29a94b148ee47c255bff041a9
- ce3445a8bd61a791913bc2cb02bcb3dea9fc340bf1c984c40cb33ab1a91a2953
- 97646017a7fd3778e619e55cc7afd594bdd88df5542f21fc2ec10c88fa23741d
- 20ab498b278b14f3786f634778a04d219c74e9fd8517b98f4aca313c9934b7f2
Ejemplos de AnonVNC Loader:
- 4c4872202abb5a60a8764bf44b370578a2b3d6f449b3881e96cc38f1b55f9cda
- 02ec55a5a2ad775adccd333edd94ac0bd82129a233736f7240044e085b73b0b3
- a7297883de84d73fb4965c00228144a0e53c573ad3b7291be39bc6d9c284454c
Canales de comunicación:
- hxxps://t[.]me/UFSB95
- hxxps://t[.]me/DVG8873
Infraestructura:
- Alojamiento web de AEZA International LTD (servidores ubicados en Ámsterdam)
Recomendaciones
Concienciación sobre las amenazas:
- Formar al personal para que sepa reconocer las técnicas sofisticadas de ingeniería social que se aprovechan de las tensiones regionales y las preocupaciones humanitarias
- Se aplicará un control más riguroso a los medios de comunicación y a las entidades de infraestructuras críticas que puedan ser objeto de propaganda o desinformación
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico y en los registros de URL los indicadores técnicos relacionados con estas campañas
- Revise el tráfico de red en busca de firmas de RAT comunes, en particular las comunicaciones con infraestructuras de alojamiento de AEZA conocidas.
- Investigue cualquier caso de promoción de canales de Telegram en las comunicaciones relacionadas con la contratación, especialmente aquellas que ofrezcan
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!