Un actor de amenaza que posiblemente de origen ruso se ha atribuido a un nuevo conjunto de ataques dirigidos al sector energético en Kazajstán. La actividad, la Operación Codenamen Barrelfire, está vinculada a un nuevo grupo de amenazas rastreado por Seqrite Labs como ruidoso oso. El actor de amenaza ha estado activo desde al menos abril de 2025. «La campaña está dirigida a los empleados de Kazmunaigas o KMG, donde la entidad de amenaza entregó un documento falso relacionado con el departamento de TI de KMG, imitando la comunicación interna oficial y aprovechando temas como actualizaciones de políticas, procedimientos de certificación interna y ajustes salaros», dijo el investigador de seguridad subhajeet Singha. La cadena de infecciones comienza con un correo electrónico de phishing que contiene un archivo adjunto de cremallera, que incluye un descargador de Actualización de Windows (LNK), un documento de señuelo relacionado con Kazmunaigas y un archivo ReadMe.txt con instrucciones escritas tanto en ruso como en Kazajus para ejecutar un programa llamado «Kazmunaygaz_viewer». El correo electrónico, según la compañía de seguridad cibernética, se envió desde una dirección de correo electrónico comprometida de un individuo que trabaja en el Departamento de Finanzas de Kazmunaigas y se dirigió a otros empleados de la empresa en mayo de 2025. La carga útil del archivo LNK está diseñada para eliminar las cargas útiles adicionales, incluida una secuencia de comandos de lote malicioso que pavimenta el camino para una carga de Powershell doblada. Los ataques culminan con el despliegue de un implante basado en DLL, un binario de 64 bits que puede ejecutar ShellCode para lanzar una capa inversa. Un análisis posterior de la infraestructura del actor de amenaza ha revelado que está organizado en el proveedor de servicios de alojamiento a prueba de balas (BPH) con sede en Rusia Aeza Group, que fue sancionado por los Estados Unidos en julio de 2025 para permitir actividades maliciosas. El desarrollo se produce cuando Harfanglab vinculó a un actor de amenaza alineado en Bielorrusia conocido como escritor fantasma (también conocido como Frostyneighbor o UNC1151) con campañas dirigidas a Ucrania y Polonia desde abril de 2025 con archivos de Zip y Rar Rogue que tienen como objetivo recopilar información sobre sistemas comprometidos e implementar implantes para una mayor explotación. «Estos archivos contienen hojas de cálculo XLS con una macro VBA que cae y carga una DLL», dijo la compañía francesa de ciberseguridad. «Este último es responsable de recopilar información sobre el sistema comprometido y recuperar malware de la próxima etapa de un servidor de comando y control (C2)». Se ha encontrado que las iteraciones posteriores de la campaña escriben un archivo de gabinete de Microsoft (CAB) junto con el atajo LNK para extraer y ejecutar la DLL desde el archivo. La DLL luego procede a realizar el reconocimiento inicial antes de dejar caer el malware de la siguiente etapa del servidor externo. Los ataques dirigidos a Polonia, por otro lado, modifican la cadena de ataque para usar Slack como un mecanismo de baliza y un canal de exfiltración de datos, descargando a cambio una carga útil de la segunda etapa que establece el contacto con los Pesthacks de dominio[.]UCI. Al menos en un caso, la DLL cayó a través de la hoja de cálculo de Excel en macro se usa para cargar un baliza de ataque de cobalto para facilitar una mayor actividad posterior a la explotación. «Estos cambios menores sugieren que UAC-0057 puede estar explorando alternativas, en un probable intento de trabajar en torno a la detección, pero prioriza la continuidad o desarrollo de sus operaciones sobre sigilitud y sofisticación», dijo Harfanglab. Los ataques cibernéticos informaron contra Rusia que los hallazgos se producen en medio de los renovados ataques de extorsión de Oldgremlin contra las empresas rusas en la primera mitad de 2025, dirigiéndose a hasta ocho grandes empresas industriales nacionales utilizando campañas de correo electrónico de phishing. Las intrusiones, según Kaspersky, implicaron el uso de la técnica de traer su propio controlador vulnerable (BYOVD) para deshabilitar las soluciones de seguridad en las computadoras de las víctimas y el intérprete legítimo de nodo.js para ejecutar scripts maliciosos. Los ataques de phishing dirigidos a Rusia también han entregado un nuevo robador de información llamado Phantom Stealer, que se basa en un Stealer de origen abierto con nombre en código STALERIUM, para recopilar una amplia gama de información confidencial utilizando cebos de correo electrónico relacionados con el contenido y los pagos de los adultos. También comparte superposiciones con otra rama de Stealerium conocida como Warp Stealer. Según F6, Phantom Stealer también hereda el módulo «porno de pornetector» de Stealerium que captura las capturas de pantalla de la cámara web cuando los usuarios visitan sitios web pornográficos manteniendo pestañas en la ventana del navegador activo y si el título incluye una lista configurable de términos como pornografía y sexo, entre otros. «Es probable que esto se use más tarde para ‘Sextortion'», dijo Proofpoint en su propio análisis del malware. «Si bien esta característica no es novedosa entre el malware del delito cibernético, no se observa a menudo». En los últimos meses, las organizaciones rusas también han estado en el extremo receptor de los ataques perpetrados por grupos de piratería rastreados como Atlas en la nube, Phantomcore y Scaly Wolf para cosechar información confidencial y entregar cargas útiles adicionales utilizando familias de malware como VBShower, Phantomrat y Phantomrshell. Otro clúster de actividad involucra un nuevo malware Android que se disfraza de una herramienta antivirus creada por la Agencia Federal de Servicios de Seguridad de Rusia (FSB) para destacar a los representantes de las empresas rusas. Las aplicaciones llevan nombres como Security_FSB, фс (ruso para FSB), y Guardcb, el último de los cuales es un intento de pasar como el Banco Central de la Federación de Rusia. Descubierto por primera vez en enero de 2025, el malware exfiltra los datos de las aplicaciones de Messenger y el navegador, transmite desde la cámara del teléfono y registre las teclas de registro buscando permisos extensos para acceder a mensajes SMS, ubicación, audio, cámara. También solicita la ejecución en segundo plano, los derechos del administrador del dispositivo y los servicios de accesibilidad. «La interfaz de la aplicación proporciona solo un idioma: ruso», dijo Doctor Web. «Por lo tanto, el malware se centra por completo en los usuarios rusos. La puerta trasera también utiliza servicios de accesibilidad para protegerse de ser eliminado si recibe el comando correspondiente de los actores de amenaza».