
El equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) advirtió el martes sobre la actividad renovada de un grupo criminal organizado que rastrea como UAC-0173 que implica infectar computadoras con un troyano de acceso remoto llamado DCRAT (también conocido como rata Darkcrystal).
La Autoridad de Ciberseguridad de Ucrania dijo que observó la última ola de ataque a partir de mediados de enero de 2025. La actividad está diseñada para apuntar al notario de Ucrania.
La cadena de infección aprovecha los correos electrónicos de phishing que afirman ser enviados en nombre del Ministerio de Justicia de Ucrania, instando a los destinatarios a descargar un ejecutable que, cuando se lance, conduce a la implementación del malware DCRAT. El binario está alojado en el servicio de almacenamiento R2 Cloud de Cloudflare.
“Having thus provided primary access to the notary’s automated workplace, the attackers take measures to install additional tools, in particular, RDPWRAPPER, which implements the functionality of parallel RDP sessions, which, in combination with the use of the BORE utility, allows you to establish RDP connections from the Internet directly to the computer,” CERT-UA dicho.
Los ataques también se caracterizan por el uso de otras herramientas y familias de malware como Fiddler para interceptar datos de autenticación ingresados en la interfaz web de los registros estatales, NMAP para el escaneo de redes y Xworm para robar datos confidenciales, como credenciales y contenido de portapapeles.
Además, los sistemas comprometidos se utilizan como un conducto para redactar y enviar correos electrónicos maliciosos utilizando la utilidad de la consola SendMail para propagar aún más los ataques.
El desarrollo se produce días después de que CERT-UA atribuyó un subgrupo dentro del Grupo de piratería de lombrices de arena (también conocido como Apt44, Seashell Blizzard y UAC-0002) a la explotación de una falla de seguridad ahora parada en Windows de Microsoft (CVE-2024-38213, CVSS CVSS: 6.5) En la segunda mitad de 2024 a través de los documentos booby-trapados.
Se ha encontrado que las cadenas de ataque ejecutan los comandos de PowerShell responsables de mostrar un archivo señuelo, mientras que al mismo tiempo lanza cargas útiles adicionales en segundo plano, incluidos SecondBest (también conocido como EmpirePast), Spark y un cargador de Golang llamado Crookbag.
La actividad, atribuido Para UAC-0212, compañías de proveedores dirigidas de Serbia, la República Checa y Ucrania entre julio de 2024 y febrero de 2025, con algunas de ellas registradas contra más de dos docenas de empresas ucranianas especializadas en el desarrollo de sistemas de control de procesos automatizados (ACST), trabajos eléctricos y transporte de carga.
Algunos de estos ataques han sido documentados por Strikready Labs y Microsoft, el último de los cuales está rastreando el grupo de amenazas bajo el apodo de apodo.







