Los actores de amenaza vinculados a la inteligencia militar rusa (GRU) han estado utilizando un software malicioso previamente desconocido para permitir el espionaje contra las cuentas de correo electrónico de las víctimas, informó el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido. El nuevo malware sofisticado se ha denominado «payasadas auténticas», y el NCSC ha dicho que el grupo de amenazas APT28, que está vinculado al Gru, ha sido responsable de implementar el software malicioso. Las travesuras auténticas se han diseñado específicamente para habilitar el acceso persistente de punto final a las cuentas de Microsoft Cloud mediante la combinación con una actividad legítima, ha demostrado el análisis NCSC. El «pensamiento significativo» se ha dedicado al diseño del malware para lograr la aparición de una auténtica actividad de Microsoft Outlook. Muestra periódicamente una ventana de inicio de sesión, lo que solicita al usuario a compartir sus credenciales, que luego son interceptadas por el malware, junto con los tokens de autenticación OAuth que permiten el acceso a los servicios de Microsoft. El malware también exfiltra los datos de las víctimas enviando correos electrónicos de la cuenta de la víctima a una dirección de correo electrónico controlada por el actor sin los correos electrónicos que se muestran en la carpeta «enviado». El análisis del malware mostró que no existe un comando y control tradicional implementado que pueda haber aumentado la probabilidad de que se detecte. La amenaza cibernética rusa sigue siendo persistente Paul Chichester, comentó el director de operaciones del NCSC: «El uso de malware de payasadas auténticas demuestra la persistencia y la sofisticación de la amenaza cibernética que representan la Gru de Rusia». «Las investigaciones de NCSC sobre las actividades de GRU durante muchos años muestran que los defensores de las redes no deben dar por sentado esta amenaza y que el monitoreo y la acción de protección es esencial para defender los sistemas», señaló. El auténtico malware antigüedades se descubrió después de un incidente cibernético que fue investigado por Microsoft y el proveedor de respuesta a incidentes cibernéticos seguidos de NCSC NCC Group en 2023. El 17 de junio, el equipo nacional de respuesta a emergencias informáticas de Ucrania (cert-UA) identificó un nuevo malware, apodó «con la confianza de los ciclos de ciclos de ciclo», lo que dijo, con la confianza moderada, podría estar vinculada a At2888. Sector de seguridad y defensa. Lea más sobre el nuevo malware Lamehug: el nuevo malware «Lamehug» despliega comandos generados por IA en mayo de 2025, un asesor conjunto de seguridad cibernética de la Agencia de Seguridad Nacional de los Estados Unidos y los aliados, incluido el NCSC, destacó una campaña cibernética rusa dirigida a las empresas y empresas de tecnología de logísticas occidentales. Esta actividad también estaba vinculada a Apt28. Sanciones del Reino Unido Oficiales de GRU rusos La misma fecha en que el gobierno del Reino Unido compartió el análisis del auténtico malware de antigüedades, también anunció la sanción de tres unidades GRU: 26165, 29155 y 74455, y 18 oficiales y agentes de GRU por su parte en operaciones cibernéticas e interferencias en todo el mundo en el apoyo de los objetivos geopolíticos y militares rusos nacionales. El secretario de Relaciones Exteriores del Reino Unido, David Lammy, dijo: «El Kremlin no debería tener dudas: vemos lo que están tratando de hacer en las sombras y no lo toleraremos. Es por eso que estamos tomando medidas decisivas con sanciones contra las espías rusas. Proteger al Reino Unido del daño es fundamental para el plan de cambio de este gobierno». APT28 también se rastrea como oso elegante, tormenta de empeño, sednit, sofacia y crepúsculo de hierro.