{"id":1554469,"date":"2025-01-29T08:13:01","date_gmt":"2025-01-29T08:13:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/uac-0063-expande-ataques-ciberneticos-a-embajadas-europeas-utilizando-documentos-robados\/"},"modified":"2025-01-29T08:13:06","modified_gmt":"2025-01-29T08:13:06","slug":"uac-0063-expande-ataques-ciberneticos-a-embajadas-europeas-utilizando-documentos-robados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/uac-0063-expande-ataques-ciberneticos-a-embajadas-europeas-utilizando-documentos-robados\/","title":{"rendered":"UAC-0063 expande ataques cibern\u00e9ticos a embajadas europeas utilizando documentos robados"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de enero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ciber espionaje \/ inteligencia de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El grupo avanzado de amenaza persistente (apt) conocido como UAC-0063<\/strong> se ha observado aprovechando documentos leg\u00edtimos obtenidos al infiltrarse en una v\u00edctima para atacar a otro objetivo con el objetivo de entregar un malware conocido denominado HatVibe.<\/p>\n

“Esta investigaci\u00f3n se centra en completar la imagen de las operaciones de UAC-0063, particularmente documentar su expansi\u00f3n m\u00e1s all\u00e1 de su enfoque inicial en Asia Central, dirigirse a entidades como embajadas en m\u00faltiples pa\u00edses europeos, incluidos Alemania, el Reino Unido, los Pa\u00edses Bajos, Rumania y Georgia, “Martin Zugec, director de soluciones t\u00e9cnicas en Bitdefender, dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

La UAC-0063 fue marcada por primera vez por la compa\u00f1\u00eda de ciberseguridad rumana en mayo de 2023 en relaci\u00f3n con una campa\u00f1a que dirigi\u00f3 a las entidades gubernamentales en Asia Central con un malware de exfiltraci\u00f3n de datos conocido como Downex (tambi\u00e9n conocido como Startarch). Se sospecha que comparte enlaces con un actor patrocinado por el estado ruso conocido llamado APT28.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Solo semanas despu\u00e9s, el Equipo de Respuesta a Emergencias de la Computaci\u00f3n de Ucrania (CERT-UA), que asign\u00f3 el cl\u00faster de amenazas el apodo, revel\u00f3 que el grupo de pirater\u00eda ha estado operativo desde al menos 2021, atacando a los organismos estatales en el pa\u00eds con un Keylogger (Logpie) , un cargador de script de aplicaci\u00f3n HTML (HatVibe), una puerta trasera de Python (CherrySpy o Bownexpyer) y Downex.<\/p>\n

Existe evidencia de que UAC-0063 tambi\u00e9n ha dirigido a varias entidades en organizaciones en Asia Central, Asia Oriental y Europa, seg\u00fan el grupo Insikt registrado de Future, que le ha asignado al actor de amenaza el nombre TAG-110.<\/p>\n

A principios de este mes, la firma de ciberseguridad Sekoia revel\u00f3 que identificaba una campa\u00f1a realizada por el equipo de pirater\u00eda que involucraba el uso de documentos robados del Ministerio de Asuntos Exteriores de la Rep\u00fablica de Kazajst\u00e1n para lanzar objetivos phish y entregar el malware HatVibe.<\/p>\n

Los \u00faltimos hallazgos de Bitdefender demuestran una continuaci\u00f3n de este comportamiento, con las intrusiones en \u00faltima instancia, allanando el camino para Downex, Dowlexyer y un exfiltrador de datos USB recientemente descubierto, el nombre en c\u00f3digo PyPlundePlug en al menos un incidente dirigido a una compa\u00f1\u00eda alemana a mediados de enero de 2023.<\/p>\n

\"Ataques<\/a><\/div>\n

Downexpyer viene equipado con capacidades variadas para mantener una conexi\u00f3n persistente con un servidor remoto y recibir comandos para recopilar datos, ejecutar comandos e implementar cargas \u00fatiles adicionales. La lista de tareas obtenidas del servidor de comando y control (C2) est\u00e1 a continuaci\u00f3n-<\/p>\n