El actor de amenazas ruso conocido como Star Blizzard ha sido vinculado a una nueva campa\u00f1a de phishing dirigida a las cuentas de WhatsApp de las v\u00edctimas, lo que indica un alejamiento de su tradicional oficio en un probable intento de evadir la detecci\u00f3n.<\/p>\n
“Los objetivos de Star Blizzard suelen estar relacionados con el gobierno o la diplomacia (tanto titulares como antiguos titulares), investigadores de pol\u00edtica de defensa o relaciones internacionales cuyo trabajo afecta a Rusia, y fuentes de asistencia a Ucrania relacionadas con la guerra con Rusia”, dice la amenaza de Microsoft. El equipo de inteligencia dijo en un informe<\/a> compartido con The Hacker News.<\/p>\n Star Blizzard (anteriormente SEABORGIUM) es un grupo de actividad de amenazas vinculado a Rusia conocido<\/a> para sus campa\u00f1as de recolecci\u00f3n de credenciales. Activo desde al menos 2012, tambi\u00e9n se le sigue con los apodos Blue Callisto, BlueCharlie (o TAG-53), Calisto (deletreado alternativamente Callisto), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 y UNC4057.<\/p>\n Las cadenas de ataques observadas anteriormente han implicado el env\u00edo de correos electr\u00f3nicos de phishing a objetivos de inter\u00e9s, generalmente desde una cuenta de Proton, adjuntando documentos que incorporan enlaces maliciosos que redirigen a una p\u00e1gina impulsada por Evilginx que es capaz de recopilar credenciales y c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) a trav\u00e9s de un ataque de adversario en el medio (AiTM).<\/p>\n Star Blizzard tambi\u00e9n se ha relacionado con el uso de plataformas de marketing por correo electr\u00f3nico como HubSpot y MailerLite para ocultar las verdaderas direcciones del remitente de correo electr\u00f3nico y obviar la necesidad de incluir una infraestructura de dominio controlada por actores en los mensajes de correo electr\u00f3nico.<\/p>\n A fines del a\u00f1o pasado, Microsoft y el Departamento de Justicia de EE. UU. (DoJ) anunciaron la incautaci\u00f3n de m\u00e1s de 180 dominios que fueron utilizados por el actor de amenazas para atacar a periodistas, grupos de expertos y organizaciones no gubernamentales (ONG) entre enero de 2023 y agosto de 2024. .<\/p>\n La evaluaci\u00f3n del gigante tecnol\u00f3gico sobre la divulgaci\u00f3n p\u00fablica de sus actividades probablemente haya llevado al equipo de hackers a cambiar sus t\u00e1cticas comprometiendo las cuentas de WhatsApp. Dicho esto, la campa\u00f1a parece haber sido limitada y finalizada a finales de noviembre de 2024.<\/p>\n “Los objetivos pertenecen principalmente a los sectores gubernamental y diplom\u00e1tico, incluidos funcionarios actuales y anteriores”, dijo a The Hacker News Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft.<\/p>\n “Adem\u00e1s, los objetivos incluyen a personas involucradas en la pol\u00edtica de defensa, investigadores en relaciones internacionales centrados en Rusia y aquellos que brindan asistencia a Ucrania en relaci\u00f3n con la guerra con Rusia”.<\/p>\n Todo comienza con un correo electr\u00f3nico de phishing que pretende ser de un funcionario del gobierno de EE. UU. para darle una apariencia de legitimidad y aumentar la probabilidad de que la v\u00edctima interact\u00fae con \u00e9l.<\/p>\n El mensaje contiene un c\u00f3digo de respuesta r\u00e1pida (QR) que insta a los destinatarios a unirse a un supuesto grupo de WhatsApp sobre “las \u00faltimas iniciativas no gubernamentales destinadas a apoyar a las ONG de Ucrania”. El c\u00f3digo, sin embargo, se descifra deliberadamente para provocar una respuesta de la v\u00edctima.<\/p>\n Si el destinatario del correo electr\u00f3nico responde, Star Blizzard env\u00eda un segundo mensaje pidi\u00e9ndole que haga clic en[.]Enlace ligeramente acortado para unirse al grupo de WhatsApp, al tiempo que se disculpa por las molestias ocasionadas.<\/p>\n “Cuando se sigue este enlace, el objetivo es redirigido a una p\u00e1gina web que le pide que escanee un c\u00f3digo QR para unirse al grupo”, explic\u00f3 Microsoft. “Sin embargo, WhatsApp utiliza este c\u00f3digo QR para conectar una cuenta a un dispositivo vinculado<\/a> y\/o el portal web WhatsApp.”<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/La-estrella-rusa-Blizzard-cambia-de-tactica-para-explotar-los.png\")
<\/a><\/center><\/div>\n