Se ha observado que un actor de amenaza previamente desconocido copia la artesan\u00eda asociada con el grupo de pirater\u00eda Gamaredon alineado en Kremlin en sus ataques cibern\u00e9ticos dirigidos a entidades de habla rusa.<\/p>\n
La campa\u00f1a se ha atribuido a un cl\u00faster de amenazas denominado Gamacopia<\/strong>que se eval\u00faa para compartir superposiciones con otro grupo de pirater\u00eda llamado Core Werewolf, tambi\u00e9n rastreado como Awaken Likho y Pseudogamaredon.<\/p>\n Seg\u00fan el Equipo de Inteligencia de Amenazas Avanzadas del Secon\u00eda 404, los ataques aprovechan el contenido relacionado con las instalaciones militares como se\u00f1uelos para abandonar UltraVNC, lo que permite a los actores de amenaza acceder a los anfitriones comprometidos de forma remota.<\/p>\n “El TTP (t\u00e1cticas, t\u00e9cnicas y procedimientos) de esta organizaci\u00f3n imita la de la organizaci\u00f3n de Gamaredon que realiza ataques contra Ucrania”, la compa\u00f1\u00eda dicho<\/a> en un informe publicado la semana pasada.<\/p>\n La divulgaci\u00f3n llega casi cuatro meses despu\u00e9s de que Kaspersky revelara que las agencias gubernamentales rusas y las entidades industriales han sido el objetivo del hombre lobo central, con los ataques de phishing de lanza allanando el camino para la plataforma Meshcentral en lugar de UltraVNC.<\/p>\n El punto de partida de la cadena de ataque refleja el detallado por la compa\u00f1\u00eda de ciberseguridad rusa en el que un archivo de archivo de autoextracci\u00f3n (SFX) creado utilizando Actos de 7 ZIP como un conducto para eliminar las cargas \u00fatiles de la pr\u00f3xima etapa. Esto incluye un script por lotes responsable de entregar UltraVNC, al tiempo que muestra un documento PDF se\u00f1uelo.<\/p>\n El ejecutable UltraVNC recibe el nombre “OnedRivers.exe” en un probable esfuerzo por evadir la detecci\u00f3n al pasarlo como un binario asociado con Microsoft OneDrive.<\/p>\n KnowSec 404 dijo que la actividad comparte varias similitudes con las campa\u00f1as de Werewolf Core, incluido el uso de archivos 7Z-SFX para instalar y ejecutar UltraVNC, puerto 443 para conectarse al servidor y el uso del Comando ActableLayEdExpansion<\/a>.<\/p>\n “Desde su exposici\u00f3n, esta organizaci\u00f3n ha imitado con frecuencia los TTP utilizados por la organizaci\u00f3n Gararedon y us\u00f3 h\u00e1bilmente herramientas de c\u00f3digo abierto como un escudo para lograr sus propios objetivos mientras confunde al p\u00fablico”, dijo la compa\u00f1\u00eda.<\/p>\n Gamacopy es uno de los muchos actores de amenazas que han atacado a las organizaciones rusas a ra\u00edz de la guerra ruso-ucraniana, como Sticky Werewolf (tambi\u00e9n conocido como Phaseshifters<\/a>), Venture Wolf y Paper Werewolf.<\/p>\n “Grupos como Phaseshifters, Pseudogamaredon y Fluffy Wolf se destacan por sus implacables campa\u00f1as de phishing dirigidas al robo de datos”, Irina Zinovkina de las tecnolog\u00edas positivas dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Gamacopy-imita-las-tacticas-de-Gamaredon-en-ciber-espionaje-dirigido.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n