El grupo de hackers patrocinado por el estado ruso fue rastreado como APT28 Se ha observado el uso de un par de implantes denominados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano.

Las dos familias de malware se utilizan desde abril de 2024, ESET dicho en un nuevo informe compartido con The Hacker News.

APT28, también rastreado como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, es un actor de estado-nación afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, GRU.

El arsenal de malware del actor de amenazas consta de herramientas como BEARDSHELL y COVENANT, junto con otro programa con nombre en código SLIMAGENT que es capaz de registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar datos del portapapeles. SLIMAGENT fue documentado públicamente por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025.

SLIMAGENT, según la empresa eslovaca de ciberseguridad, tiene sus raíces en XAgent, otro implante utilizado por APT28 en la década de 2010 para facilitar el control remoto y la exfiltración de datos. Esto se basa en similitudes de código descubiertas entre SLIMAGENT y muestras previamente desconocidas implementadas en ataques dirigidos a entidades gubernamentales en dos países europeos ya en 2018.

Se evalúa que los artefactos de 2018 y la muestra de SLIMAGENT de 2024 se originaron en XAgent, y el análisis de ESET descubrió superposiciones en el registro de teclas entre SLIMAGENT y un Muestra de XAgent detectado en estado salvaje a finales de 2014.

«SLIMAGENT emite sus registros de espionaje en formato HTML, con el nombre de la aplicación, las pulsaciones de teclas registradas y el nombre de la ventana en azul, rojo y verde, respectivamente», dijo ESET. «El keylogger XAgent también produce registros HTML utilizando el mismo esquema de color».

También se implementa en conexión con SLIMAGENT otra puerta trasera conocida como BEARDSHELL que es capaz de ejecutar comandos de PowerShell en hosts comprometidos. Utiliza el servicio legítimo de almacenamiento en la nube Icedrive para comando y control (C2).

Comparación de código entre SLIMAGENT (izquierda) y XAgent (derecha)

Un aspecto digno de mención del malware es que utiliza una técnica de ofuscación distintiva conocida como predicado opacoque también se encuentra en XTunnel (también conocido como X-Tunnel), un herramienta de giro y recorrido de red utilizado por APT28 en el hackeo del Comité Nacional Demócrata (DNC) de 2016. La herramienta proporciona un túnel seguro a un servidor C2 externo.

«El uso compartido de esta rara técnica de ofuscación, combinada con su colocación con SLIMAGENT, nos lleva a evaluar con gran confianza que BEARDSHELL es parte del arsenal personalizado de Sednit», añadió ESET.

Una tercera pieza importante del conjunto de herramientas del actor de amenazas es COVENANT, un marco de post-explotación .NET de código abierto que ha sido «fuertemente» modificado para soportar el espionaje a largo plazo y para implementar un nuevo protocolo de red basado en la nube que abusa del servicio de almacenamiento en la nube Filen para C2 desde julio de 2025. Anteriormente, se decía que la variante COVENANT de APT28 usaba pCloud (en 2023) y Koofr (en 2024-2025).

«Estas adaptaciones muestran que los desarrolladores de Sednit adquirieron una profunda experiencia en Covenant, un implante cuyo desarrollo oficial cesó en abril de 2021 y es posible que los defensores lo hayan considerado no utilizado», dijo ESET. «Esta sorprendente elección operativa parece haber dado sus frutos: Sednit ha confiado con éxito en Covenant durante varios años, particularmente contra objetivos seleccionados en Ucrania.»

Esta no es la primera vez que el colectivo adversario adopta la estrategia de doble implante. En 2021, Trellix reveló que APT28 implementó Graphite, una puerta trasera que empleaba OneDrive para C2 y PowerShell Empire en ataques dirigidos a funcionarios gubernamentales de alto rango que supervisan la política de seguridad nacional e individuos del sector de defensa en Asia occidental.

Investigadores de ciberseguridad han revelado detalles de una nueva campaña cibernética rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas llamadas pata mala y MiauMiau.

«La cadena de ataque se inicia con un correo electrónico de phishing que contiene un enlace a un archivo ZIP. Una vez extraído, un archivo HTA inicial muestra un documento señuelo escrito en ucraniano sobre apelaciones para cruzar la frontera para engañar a la víctima», ClearSky dicho en un informe publicado esta semana.

En paralelo, la cadena de ataque conduce a la implementación de un cargador basado en .NET llamado BadPaw, que luego establece comunicación con un servidor remoto para buscar e implementar una puerta trasera sofisticada llamada MeowMeow.

La campaña se ha atribuido con moderada confianza al actor de amenazas patrocinado por el estado ruso conocido como APT28, basándose en la huella de objetivos, la naturaleza geopolítica de los señuelos utilizados y las superposiciones con técnicas observadas en operaciones cibernéticas rusas anteriores.

El punto de partida de la secuencia de ataque es un correo electrónico de phishing enviado desde ukr.[.]net, probablemente en un intento de establecer credibilidad y asegurar la confianza de las víctimas objetivo. En el mensaje hay un enlace a un supuesto archivo ZIP, lo que hace que el usuario sea redirigido a una URL que carga una «imagen excepcionalmente pequeña», actuando efectivamente como un píxel de seguimiento para indicar a los operadores que se hizo clic en el enlace.

Una vez que se completa este paso, la víctima es redirigida a una URL secundaria desde donde se descarga el archivo. El archivo ZIP incluye una aplicación HTML (HTA) que, una vez iniciada, suelta un documento señuelo como mecanismo de distracción, mientras ejecuta etapas de seguimiento en segundo plano.

«El documento señuelo arrojado sirve como una táctica de ingeniería social, presentando una confirmación de recibo de una apelación del gobierno sobre un cruce fronterizo con Ucrania», dijo ClearSky. «Este señuelo tiene como objetivo mantener el barniz de legitimidad».

El archivo HTA también realiza comprobaciones para evitar su ejecución en entornos sandbox. Para ello, consulta la clave del Registro de Windows «KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate» para estimar la «antigüedad» del sistema operativo. El malware está diseñado para cancelar la ejecución si el sistema se instaló menos de diez días antes.

Si el sistema cumple con los criterios del entorno, el malware localiza el archivo ZIP descargado y extrae dos archivos de él (un Visual Basic Script (VBScript) y una imagen PNG) y los guarda en el disco con nombres diferentes. También crea una tarea programada para ejecutar VBScript como una forma de garantizar la persistencia en el sistema infectado.

La responsabilidad principal de VBScript es extraer código malicioso incrustado en la imagen PNG, un cargador ofuscado conocido como BadPaw que es capaz de contactar a un servidor de comando y control (C2) para descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.

«De acuerdo con el oficio ‘BadPaw’, si este archivo se ejecuta independientemente de la cadena de ataque completa, inicia una secuencia de código ficticio», explicó la compañía israelí de ciberseguridad. «Esta ejecución señuelo muestra una interfaz gráfica de usuario (GUI) que presenta una imagen de un gato, alineándose con el tema visual del archivo de imagen inicial del cual se extrajo el malware principal».

«Cuando se hace clic en el botón ‘MeowMeow’ dentro de la GUI del señuelo, la aplicación simplemente muestra un mensaje ‘Meow Meow Meow’, sin realizar más acciones maliciosas. Esto sirve como un señuelo funcional secundario para engañar al análisis manual».

El código malicioso de la puerta trasera se activa solo cuando se ejecuta con un determinado parámetro («-v») proporcionado por la cadena de infección inicial, y después de verificar que se está ejecutando en un punto final real en lugar de en una zona de pruebas, y que no se ejecutan herramientas forenses y de monitoreo como Wireshark, Procmon, Ollydbg y Fiddler en segundo plano.

En esencia, MeowMeow está equipado para ejecutar de forma remota comandos de PowerShell en el host comprometido y admitir operaciones del sistema de archivos, como la capacidad de leer, escribir y eliminar datos. ClearSky dijo que identificó cadenas en idioma ruso en el código fuente, lo que refuerza la evaluación de que la actividad es obra de un actor de amenazas de habla rusa.

«La presencia de estas cadenas en ruso sugiere dos posibilidades: el actor de la amenaza cometió un error de seguridad operativa (OPSEC) al no localizar el código para el entorno de destino ucraniano, o inadvertidamente dejó artefactos de desarrollo rusos dentro del código durante la fase de producción del malware», dijo.

Una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, según nuevos hallazgos de Akamai.

La vulnerabilidad en cuestión es CVE-2026-21513 (Puntuación CVSS: 8,8), una función de seguridad de alta gravedad que afecta al marco MSHTML.

«La falla del mecanismo de protección en MSHTML Framework permite a un atacante no autorizado eludir una característica de seguridad en una red», Microsoft anotado en su aviso sobre la falla. Fue solucionado por el fabricante de Windows como parte de su actualización del martes de parches de febrero de 2026.

Sin embargo, el gigante tecnológico también señaló que la vulnerabilidad había sido explotada como un día cero en ataques del mundo real, y le dio crédito al Microsoft Threat Intelligence Center (MSTIC), al Microsoft Security Response Center (MSRC) y al equipo de seguridad del grupo de productos de Office, junto con el Google Threat Intelligence Group (GTIG), por informarlo.

En un escenario de ataque hipotético, un actor de amenazas podría convertir la vulnerabilidad en un arma persuadiendo a la víctima para que abra un archivo HTML o un archivo de acceso directo (LNK) malicioso entregado a través de un enlace o como un archivo adjunto de correo electrónico.

Una vez que se abre el archivo elaborado, manipula el navegador y el manejo del Shell de Windows, lo que hace que el sistema operativo ejecute el contenido, señaló Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y potencialmente lograr la ejecución del código.

Si bien la compañía no ha compartido oficialmente ningún detalle sobre el esfuerzo de explotación de día cero, Akamai dijo que identificó un artefacto malicioso que se subió a VirusTotal el 30 de enero de 2026 y está asociado con la infraestructura vinculada a APT28.

Vale la pena señalar que la muestra fue señalada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con los ataques de APT28 que explotaban otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).

La compañía de infraestructura web dijo que CVE-2026-21513 tiene su origen en la lógica dentro de «ieframe.dll» que maneja la navegación de hipervínculos, y que es el resultado de una validación insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW. Esto, a su vez, permite la ejecución de recursos locales o remotos fuera del contexto de seguridad previsto del navegador.

«Esta carga útil implica un acceso directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar», dijo el investigador de seguridad Maor Dahan. «El archivo LNK inicia comunicación con el dominio wellnesscaremed[.]com, que se atribuye a APT28 y se ha utilizado ampliamente para las cargas útiles de varias etapas de la campaña. El exploit aprovecha los iframes anidados y múltiples contextos DOM para manipular los límites de confianza».

Akamai señaló que la técnica hace posible que un atacante eluda la Marca de la Web (MotW) y Configuración de seguridad mejorada de Internet Explorer (Es decir, ESC), lo que lleva a una degradación del contexto de seguridad y, en última instancia, facilita la ejecución de código malicioso fuera del entorno limitado del navegador a través de ShellExecuteExW.

«Si bien la campaña observada aprovecha archivos LNK maliciosos, la ruta del código vulnerable puede activarse a través de cualquier componente que incorpore MSHTML», añadió la compañía. «Por lo tanto, se deben esperar mecanismos de entrega adicionales más allá del phishing basado en LNK».