Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Gamaredón vinculado a Rusia usa señuelos relacionados con la tropa para desplegar REMCOS RAT en Ucrania
  • Tecnología

Gamaredón vinculado a Rusia usa señuelos relacionados con la tropa para desplegar REMCOS RAT en Ucrania

teknomers 31 de Mart de 2025 (Last updated: 31 de Mart de 2025) 4 minutes read
Gamaredón vinculado a Rusia usa señuelos relacionados con la tropa


31 de marzo de 2025Ravie LakshmananInteligencia de amenazas / malware

Las entidades en Ucrania han sido atacadas como parte de una campaña de phishing diseñada para distribuir un troyano de acceso remoto llamado REMCOS RAT.

“Los nombres de archivo usan palabras rusas relacionadas con el movimiento de tropas en Ucrania como señuelo”, el investigador de Cisco Talos Guilherme Venere dicho en un informe publicado la semana pasada. “El descargador de PowerShell contacta a los servidores geográficos ubicados en Rusia y Alemania para descargar el archivo zip de la segunda etapa que contiene la puerta trasera REMCOS”.

La actividad se ha atribuido con una confianza moderada a un grupo de piratería ruso conocido como Gamaredon, que también se rastrea bajo los apodos Aqua Blizzard, Armageddon, Blue OTSO, Bluealpha, Hive0051, Iron Tilden, primitivo oso, shuckworm, trident USSA, UAC-0010, UNC530 y invierno.

Ciberseguridad

El actor de amenaza, evaluado como afiliado al Servicio Federal de Seguridad de Rusia (FSB), es conocido por su objetivo de organizaciones ucranianas por espionaje y robo de datos. Está operativo desde al menos 2013.

La última campaña se caracteriza por la distribución de archivos de acceso directo de Windows (LNK) comprimido dentro de los archivos zip, disfrazándolos como documentos de Microsoft Office relacionados con la guerra en curso ruso-ucraniana para engañar a los destinatarios para que los abran. Se cree que estos archivos se envían a través de correos electrónicos de phishing.

Los enlaces a Gamaredon provienen del uso de dos máquinas que se utilizaron para crear los archivos de acceso directo malicioso y que fueron previamente utilizado por el actor de amenaza para fines similares.

Los archivos LNK vienen equipados con el código PowerShell que es responsable de descargar y ejecutar el comando de carga de carga útil de la próxima etapa, así como para obtener un archivo de señuelo que se muestra a la víctima para mantener la artimaña.

La segunda etapa es otro archivo ZIP, que contiene una DLL maliciosa que se ejecutará a través de una técnica denominada carga lateral de DLL. El DLL es un cargador que descifra y ejecuta la carga útil REMCOS final de los archivos cifrados presentes dentro del archivo.

La divulgación se produce cuando Silent Push detalló una campaña de phishing que utiliza señuelos del sitio web para recopilar información contra las personas rusas que simpatizan con Ucrania. Se cree que la actividad es obra de servicios de inteligencia rusos o un actor de amenaza alineado con Rusia.

Ciberseguridad

La campaña consta de cuatro grupos de phishing principales, que se hace pasar por la Agencia Central de Inteligencia de los Estados Unidos (CIA), el Cuerpo de Voluntarios de Rusia, Legion Liberty y Hochuzhit “Quiero vivir”, un línea directa por recibir apelaciones de miembros del servicio ruso en Ucrania para rendirse a las Fuerzas Armadas de Ucrania.

Se ha encontrado que las páginas de phishing están alojadas en un proveedor de alojamiento a prueba de balas, Nybula LLC, con los actores de amenaza que confían en las formularios de Google y las respuestas por correo electrónico para recopilar información personal, incluidas sus puntos de vista políticos, malos hábitos y aptitud física, de las víctimas.

“Todas las campañas […] observado ha tenido rasgos similares y compartido un objetivo común: recopilar información personal de víctimas de visitas al sitio “, Silent Push dicho. “Estos honeypots de phishing son probablemente el trabajo de los servicios de inteligencia rusos o un actor de amenaza alineado con los intereses rusos”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Half Ponytail de Miley Cyrus es un guiño no tan sutil a los años 90
Next: Valores de mercado México: menos para Giakoumakis y Ramos – Zendendejas on the Upswing

Related Stories

Boulanger rompe los precios en las rebajas: hasta 260 €
  • Tecnología

Boulanger rompe los precios en las rebajas: hasta 260 € de descuento en iPhone, Samsung, Dyson y Philips

teknomers 1 de Temmuz de 2026
Cambiar de iPhone cada año: ¿buena idea o simple capricho?
  • Tecnología

Cambiar de iPhone cada año: ¿buena idea o simple capricho? Lo he probado durante 7 años, aquí está mi opinión.

teknomers 1 de Temmuz de 2026
Rebajas de verano en Amazon: -70% en esta máquina de
  • Tecnología

Rebajas de verano en Amazon: -70% en esta máquina de espresso Cuisinart con molinillo integrado

teknomers 30 de Haziran de 2026

You May Have Missed

  • Deporte

Resultados de Wimbledon 2026: Serena Williams muestra destellos de su forma, pero se diluye ante Maya Joint

teknomers 1 de Temmuz de 2026
  • General

Enviados de EE. UU. Steve Witkoff y Jared Kushner se reúnen con mediadores en Doha

teknomers 1 de Temmuz de 2026
  • General

Estados Unidos ha expulsado a su primer migrante hacia un país del Pacífico, en las islas Palaos.

teknomers 1 de Temmuz de 2026
«El racismo y la discriminación no tienen cabida»: la federación
  • Deporte

«El racismo y la discriminación no tienen cabida»: la federación neerlandesa apoya a sus jugadores insultados tras la eliminación

teknomers 1 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.