{"id":1678766,"date":"2025-04-20T05:50:11","date_gmt":"2025-04-20T05:50:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/apt29-despliega-malware-grapeloader-dirigido-a-diplomaticos-europeos-a-traves-de-senuelos-de-degustacion-de-vinos\/"},"modified":"2025-04-20T05:50:16","modified_gmt":"2025-04-20T05:50:16","slug":"apt29-despliega-malware-grapeloader-dirigido-a-diplomaticos-europeos-a-traves-de-senuelos-de-degustacion-de-vinos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apt29-despliega-malware-grapeloader-dirigido-a-diplomaticos-europeos-a-traves-de-senuelos-de-degustacion-de-vinos\/","title":{"rendered":"APT29 despliega malware Grapeloader dirigido a diplom\u00e1ticos europeos a trav\u00e9s de se\u00f1uelos de degustaci\u00f3n de vinos"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

El actor de amenazas patrocinado por el estado ruso conocido como APT29 se ha vinculado a una campa\u00f1a de phishing avanzada que est\u00e1 dirigida a entidades diplom\u00e1ticas en toda Europa con una nueva variante de Wineloader y un cargador de malware previamente no declarado en el c\u00f3digo Grapeloader.<\/p>\n

“Si bien la variante mejorada de Wineloader sigue siendo una puerta trasera modular utilizada en etapas posteriores, Grapeloader es una herramienta de escenario inicial recientemente observada utilizada para huellas digitales, persistencia y entrega de carga \u00fatil,” Punto de control ” dicho<\/a> En un an\u00e1lisis t\u00e9cnico publicado a principios de esta semana.<\/p>\n

“A pesar de los diferentes roles, tanto comparten similitudes en la estructura del c\u00f3digo, la ofuscaci\u00f3n y el descifrado de cuerdas. El grudidor refina las t\u00e9cnicas anti-an\u00e1lisis de Wineloader al tiempo que introduce m\u00e9todos de sigilo m\u00e1s avanzados”.<\/p>\n

El uso de Wineloader fue documentado por primera vez por Zscaler AMENAYLABZ en febrero de 2024, con los ataques que aprovechan los se\u00f1uelos de degustaci\u00f3n de vinos para infectar a los sistemas de personal diplom\u00e1tico.<\/p>\n

Mientras que la campa\u00f1a se atribuy\u00f3 por primera vez a un cl\u00faster de actividad de amenazas llamado Spikedwine, un an\u00e1lisis posterior de Mandiant, propiedad de Google, lo conect\u00f3 con el grupo de pirater\u00eda APT29 (tambi\u00e9n conocido como Cozy Bear o Midnight Blizzard), que est\u00e1 afiliado al Servicio de Inteligencia Extranjera (SVR) de Rusia.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El \u00faltimo conjunto de ataques implica enviar invitaciones por correo electr\u00f3nico que se hace pasar por un Ministerio Europeo de Asuntos Exteriores no especificados a los objetivos para eventos de degustaci\u00f3n de vinos, convenci\u00e9ndolos de hacer clic en un enlace que desencadena el despliegue de Grapeloader por medio de un archivo de ca\u00f1as con malware (“Wine.zip”). Los correos electr\u00f3nicos fueron enviados desde los dominios Bakenhof[.]com y senario[.]com.<\/p>\n

Se dice que la campa\u00f1a ha se\u00f1alado principalmente m\u00faltiples pa\u00edses europeos con un enfoque espec\u00edfico en los ministerios de asuntos exteriores, as\u00ed como en las embajadas de otros pa\u00edses en Europa. Hay indicios de que los diplom\u00e1ticos con sede en el Medio Oriente tambi\u00e9n pueden haber sido atacados.<\/p>\n

El archivo ZIP contiene tres archivos: A DLL (“AppVISVSubSystems64.dll”) que sirve como una dependencia para ejecutar un ejecutable leg\u00edtimo de PowerPoint (“Wine.exe”), que luego se explota para la carga lateral de DLL para lanzar un DLL malicioso (“PPCore.dll”). El malware latido funciona como un cargador (es decir, Grapeloader) para soltar la carga \u00fatil principal.<\/p>\n

El malware gana persistencia al modificar el registro de Windows para garantizar que el ejecutable “Wine.exe” se inicie cada vez que se reinicia el sistema.<\/p>\n

\"Grapeloader<\/a><\/div>\n

Grapeloader, adem\u00e1s de incorporar t\u00e9cnicas anti-an\u00e1lisis como la ofuscaci\u00f3n de cadenas y la resoluci\u00f3n de API de tiempo de ejecuci\u00f3n, est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n b\u00e1sica sobre el host infectado y exfiltrarse a un servidor externo para recuperar el c\u00f3digo de caparaz\u00f3n de la siguiente etapa.<\/p>\n

Aunque la naturaleza exacta de la carga \u00fatil no est\u00e1 clara, Check Point dijo que identific\u00f3 artefactos de Wineloader actualizados cargados en la plataforma Virustotal con marcas de tiempo de compilaci\u00f3n que coinciden con las de “AppvisVSVSubSystems64.dll”.<\/p>\n

“Con esta informaci\u00f3n, y el hecho de que Grapeloader reemplaz\u00f3 a Rootsaw, un descargador de HTA utilizado en campa\u00f1as pasadas para ofrecer a Wineloader, creemos que Grapeloader finalmente conduce al despliegue de Wineloader”, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica.<\/p>\n

Los hallazgos vienen como Harfanglab detallado<\/a> El malware Pterolnk VBScript de Gamaredon, que es utilizado por el actor de amenaza rusa para infectar todas las unidades USB conectadas con versiones VBScript o PowerShell del programa malicioso. Las muestras de Pterolnk se cargaron a Virustotal entre diciembre de 2024 y febrero de 2025 desde Ucrania, un objetivo principal del grupo de pirater\u00eda.<\/p>\n

“Ambas herramientas, cuando se implementan en un sistema, intentan repetidamente detectar unidades USB conectadas, para soltar archivos LNK y, en algunos casos, tambi\u00e9n una copia de Pterolnk en ellas”, se\u00f1al\u00f3 ESET en septiembre de 2024. “Haga clic en un archivo LNK puede, dependiendo de la versi\u00f3n particular de Pterolnk que lo cre\u00f3 directamente, ya sea que se recupere directamente en la etapa de A C2, o exente en un ser servidor, o exente a un servidor, o sea execuente de un servidor PTEROLNK.<\/p>\n

La firma de ciberseguridad francesa describi\u00f3 los archivos Pterolnk VBScript como fuertemente ofuscados y responsables de construir din\u00e1micamente un descargador y un gotero LNK durante la ejecuci\u00f3n. Si bien el descargador est\u00e1 programado para ejecutarse cada 3 minutos, el script LNK Dropper est\u00e1 configurado para ejecutarse cada 9 minutos.<\/p>\n

El descargador emplea una estructura modular de varias etapas para llegar a un servidor remoto y obtener malware adicional. El gotero LNK, por otro lado, se propaga a trav\u00e9s de unidades locales y de red, reemplazando los archivos .pdf, .docx y .xlsx en la ra\u00edz del directorio con contrapartes de acceso directo enga\u00f1oso y ocultando los archivos originales. Estos atajos, cuando se lanzan, est\u00e1n dise\u00f1ados para ejecutar Pterolnk en su lugar.<\/p>\n

“Los scripts est\u00e1n dise\u00f1ados para permitir flexibilidad para sus operadores, lo que permite una f\u00e1cil modificaci\u00f3n de par\u00e1metros como nombres de archivos y rutas, mecanismos de persistencia (claves de registro y tareas programadas) y l\u00f3gica de detecci\u00f3n para soluciones de seguridad en el sistema de destino”, dijo Harfanglab.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Vale la pena se\u00f1alar que el descargador y el gotero de LNK se refieren a las mismas dos cargas \u00fatiles que el equipo de cazadores de amenazas de Symantec, parte de Broadcom, revelado a principios de este mes como parte de una cadena de ataque que distribuye una versi\u00f3n actualizada del Gammteel Stealer –<\/p>\n