Se ha observado una supuesta operaci\u00f3n h\u00edbrida rusa de espionaje e influencia que entrega una combinaci\u00f3n de malware para Windows y Android para atacar al ej\u00e9rcito ucraniano bajo la personalidad de Telegram Civil Defense.<\/p>\n
El Grupo de An\u00e1lisis de Amenazas (TAG) de Google y Mandiant est\u00e1n rastreando la actividad bajo el nombre UNC5812<\/strong>. El grupo de amenazas, que opera un canal de Telegram llamado defensa civil_com_ua<\/a>fue creado el 10 de septiembre de 2024. Al momento de escribir este art\u00edculo, el canal tiene 184 suscriptores. Tambi\u00e9n mantiene un sitio web en civildefense.com.[.]ua que fue registrada el 24 de abril de 2024.<\/p>\n “‘Civil Defense’ afirma ser un proveedor de programas de software gratuitos dise\u00f1ados para permitir que reclutas potenciales vean y compartan ubicaciones de reclutadores militares ucranianos mediante crowdsourcing”, dijo la compa\u00f1\u00eda. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Si estos programas se instalan en dispositivos Android que tienen Google Play Protect deshabilitado, est\u00e1n dise\u00f1ados para implementar un malware espec\u00edfico del sistema operativo junto con una aplicaci\u00f3n de mapeo se\u00f1uelo denominada SUNSPINNER.<\/p>\n Tambi\u00e9n se dice que UNC5812 participa activamente en operaciones de influencia, difundiendo narrativas y solicitando contenido destinado a socavar el apoyo a los esfuerzos de movilizaci\u00f3n y reclutamiento militar de Ucrania.<\/p>\n “La campa\u00f1a de UNC5812 es muy caracter\u00edstica del \u00e9nfasis que Rusia pone en lograr un efecto cognitivo a trav\u00e9s de sus capacidades cibern\u00e9ticas, y destaca el papel destacado que las aplicaciones de mensajer\u00eda siguen desempe\u00f1ando en la entrega de malware y otras dimensiones cibern\u00e9ticas de la guerra de Rusia en Ucrania”, dijo Google Threat Intelligence Group. .<\/p>\n Defensa Civil, cuyo canal Telegram y su sitio web han sido promocionados por otros canales leg\u00edtimos y establecidos de Telegram en idioma ucraniano, tiene como objetivo dirigir a las v\u00edctimas a su sitio web desde donde se descarga software malicioso dependiendo del sistema operativo.<\/p>\n Para los usuarios de Windows, el archivo ZIP conduce a la implementaci\u00f3n de un cargador de malware basado en PHP recientemente descubierto llamado Pronsis que se utiliza para distribuir SUNSPINNER y un malware ladr\u00f3n disponible en el mercado conocido como PureStealer que se anuncia por entre $150 por una suscripci\u00f3n mensual a $699 por una licencia de por vida.<\/p>\n SUNSPINNER, por su parte, muestra a los usuarios un mapa que muestra las supuestas ubicaciones de los reclutas militares ucranianos desde un servidor de comando y control (C2) controlado por actores.<\/p>\n Para aquellos que navegan al sitio web desde dispositivos Android, la cadena de ataque implementa un archivo APK malicioso (nombre del paquete: “com.http.masters<\/a>“) que incorpora un troyano de acceso remoto denominado CraxsRAT.<\/p>\n El sitio web tambi\u00e9n incluye instrucciones que gu\u00edan a las v\u00edctimas sobre c\u00f3mo desactivar Google Play Protect y otorgarle todos los permisos solicitados, permitiendo que el malware funcione sin obst\u00e1culos.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Grupo-de-espionaje-ruso-ataca-al-ejercito-ucraniano-con-malware.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n