Aug 29, 2025Ravie Lakshmananthrat Intelligence / Malware Amazon dijo el viernes que marcó e interrumpió lo que describió como una campaña oportunista de agujeros de riego orquestados por los actores APT29 vinculados a Rusia como parte de sus esfuerzos de recolección de inteligencia. La campaña utilizó «sitios web comprometidos para redirigir a los visitantes a la infraestructura maliciosa diseñada para engañar a los usuarios para que autorizar los dispositivos controlados por los atacantes a través del flujo de autenticación del código de dispositivo de Microsoft», dijo el director de seguridad de la información de Amazon, CJ Moses. Apt29, también rastreado como BlueBravo, Ursa Cloed, Cozylarch, Cozy Bear, Earth Koshchei, ICECAP, Midnight Blizzard y los Dukes, es el nombre asignado a un grupo de piratería patrocinado por el estado con vínculos con el Servicio de Inteligencia Extranjera (SVR) de Rusia. En los últimos meses, el actor prolífico de amenaza se ha vinculado a ataques que aprovechan los archivos de configuración del Protocolo de Descripción Remoto Malicioso (RDP) para dirigirse a las entidades ucranianas y exfiltrar datos confidenciales. Desde el comienzo del año, se ha observado que el colectivo adversario adoptan varios métodos de phishing, incluidos phishing del código de dispositivo y phishing de unión de dispositivo, para obtener acceso no autorizado a las cuentas de Microsoft 365. Tan recientemente como junio de 2025, Google dijo que observó un clúster de amenazas con afiliaciones a Apt29 armando una característica de la cuenta de Google llamada contraseñas específicas de la aplicación para obtener acceso a los correos electrónicos de las víctimas. La campaña altamente dirigida se atribuyó a UNC6293. La última actividad identificada por el equipo de inteligencia de amenazas de Amazon subraya los continuos esfuerzos del actor de amenaza para cosechar credenciales y reunir inteligencia de interés, al tiempo que afilaba su tradición. «Este enfoque oportunista ilustra la evolución continua de APT29 al escalar sus operaciones para lanzar una red más amplia en sus esfuerzos de recolección de inteligencia», dijo Moses. Los ataques involucraron a APT29 que comprometieron varios sitios web legítimos e inyectan JavaScript que redirigió aproximadamente el 10% de los visitantes a dominios controlados por actores, como FindCloudflare[.]com, que imitaban las páginas de verificación de Cloudflare para dar una ilusión de legitimidad. En realidad, el objetivo final de la campaña era atraer a las víctimas a ingresar un código de dispositivo legítimo generado por el actor de amenazas en una página de inicio de sesión, otorgándoles efectivamente acceso a sus cuentas y datos de Microsoft. Esta técnica fue detallada por Microsoft y Volexity en febrero de 2025. La actividad también es notable para incorporar varias técnicas de evasión, como la codificación de Base64 para ocultar el código malicioso, establecer cookies para evitar redirigiciones repetidas del mismo visitante y cambiar a una nueva infraestructura cuando se bloquea. Amazon le dijo a The Hacker News que no tiene información adicional sobre cuántos sitios web se comprometieron como parte de este esfuerzo y cómo se piratearon estos sitios en primer lugar. El gigante tecnológico también señaló que era capaz de vincular los dominios utilizados en esta campaña con infraestructura previamente atribuida a Apt29. «A pesar de los intentos del actor de migrar a una nueva infraestructura, incluido un traslado de AWS a otro proveedor de la nube, nuestro equipo continuó rastreando e interrumpiendo sus operaciones», dijo Moses. «Después de nuestra intervención, observamos que el actor registra dominios adicionales como CloudFlare.RedirectPartners[.]com, que nuevamente intentó atraer a las víctimas a los flujos de trabajo de autenticación del código de dispositivo de Microsoft «.