Las entidades ucranianas se han convertido en el objetivo de una nueva campaña probablemente orquestada por actores de amenazas vinculados a Rusia, según un informe del equipo de inteligencia de amenazas LAB52 de S2 Grupo.

La campaña, observado en febrero de 2026, se ha evaluado que comparte superposiciones con una campaña anterior montada por Laundry Bear (también conocido como UAC-0190 o Void Blizzard) dirigida a las fuerzas de defensa ucranianas con una familia de malware conocida como PLUGGYAPE.

La actividad de ataque «emplea varios señuelos con temas judiciales y de caridad para implementar una puerta trasera basada en JavaScript que se ejecuta a través del navegador Edge», dijo la compañía de ciberseguridad. nombre en clave TALADROel malware es capaz de cargar y descargar archivos, aprovechar el micrófono y capturar imágenes a través de la cámara web aprovechando las funciones del navegador web.

Se han identificado dos versiones diferentes de la campaña, y la primera iteración se detectó a principios de febrero mediante el uso de un archivo de acceso directo de Windows (LNK) para crear una aplicación HTML (HTA) en la carpeta temporal, que luego carga un script remoto alojado en Pastefy, un servicio de pegado legítimo.

Para establecer la persistencia, los archivos LNK se copian a la carpeta de inicio de Windows para que se inicien automáticamente después de reiniciar el sistema. Luego, la cadena de ataque muestra una URL que contiene señuelos relacionados con la instalación de Starlink o una organización benéfica ucraniana llamada Come Back Alive Foundation.

El archivo HTML finalmente se ejecuta a través del navegador Microsoft Edge en modo sin cabezaque luego carga el script ofuscado remoto alojado en Pastefy.

El navegador se ejecuta con parámetros adicionales como –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true y –disable-user-media-security, lo que le otorga acceso al sistema de archivos local, así como a la cámara, el micrófono y la captura de pantalla sin requerir ninguna interacción del usuario.

Básicamente, el artefacto funciona como una puerta trasera liviana para facilitar el acceso al sistema de archivos y capturar audio del micrófono, video de la cámara e imágenes de la pantalla del dispositivo a través del navegador. También genera una huella digital del dispositivo utilizando una técnica llamada huellas digitales en lienzo cuando se ejecuta por primera vez y utiliza Pastefy como solucionador de caídas muertas para recuperar una URL de WebSocket utilizada para comunicaciones de comando y control (C2).

El malware transmite los datos de las huellas dactilares del dispositivo junto con el país de la víctima, que se determina a partir de la zona horaria de la máquina. Comprueba específicamente si las zonas horarias corresponden a Reino Unido, Rusia, Alemania, Francia, China, Japón, Estados Unidos, Brasil, India, Ucrania, Canadá, Australia, Italia, España y Polonia. Si ese no es el caso, por defecto será EE.UU.

La segunda versión de la campaña, detectada a finales de febrero de 2026, evita los archivos LNK para los módulos del Panel de control de Windows, manteniendo la secuencia de infección prácticamente intacta. Otro cambio notable tiene que ver con la propia puerta trasera, que ahora se ha actualizado para permitir la enumeración recursiva de archivos, la carga de archivos por lotes y la descarga de archivos arbitrarios.

«Por razones de seguridad, JavaScript no permite la descarga remota de archivos», dijo LAB52. «Es por eso que los atacantes usan el Chrome DevTools Protocol (CDP), un protocolo interno de los navegadores basados ​​en Chromium que sólo se puede usar cuando el parámetro –remote-debugging-port está habilitado».

Se cree que la puerta trasera aún se encuentra en las etapas iniciales de desarrollo. Se observó que una variante temprana del malware detectada en la naturaleza el 28 de enero de 2026 simplemente se comunicaba con el dominio «gnome».[.]com» en lugar de descargar la carga útil principal de Pastefy.

«Uno de los aspectos más notables es el uso del navegador para implementar una puerta trasera, lo que sugiere que los atacantes están explorando nuevas formas de evadir la detección», dijo el proveedor de seguridad español.

«El navegador es ventajoso para este tipo de actividad porque es un proceso común y generalmente no sospechoso, ofrece capacidades extendidas accesibles a través de parámetros de depuración que permiten acciones inseguras como la descarga de archivos remotos, y proporciona acceso legítimo a recursos confidenciales como el micrófono, la cámara o la grabación de pantalla sin activar alertas inmediatas».

Investigadores de ciberseguridad han revelado detalles de una nueva campaña cibernética rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas llamadas pata mala y MiauMiau.

«La cadena de ataque se inicia con un correo electrónico de phishing que contiene un enlace a un archivo ZIP. Una vez extraído, un archivo HTA inicial muestra un documento señuelo escrito en ucraniano sobre apelaciones para cruzar la frontera para engañar a la víctima», ClearSky dicho en un informe publicado esta semana.

En paralelo, la cadena de ataque conduce a la implementación de un cargador basado en .NET llamado BadPaw, que luego establece comunicación con un servidor remoto para buscar e implementar una puerta trasera sofisticada llamada MeowMeow.

La campaña se ha atribuido con moderada confianza al actor de amenazas patrocinado por el estado ruso conocido como APT28, basándose en la huella de objetivos, la naturaleza geopolítica de los señuelos utilizados y las superposiciones con técnicas observadas en operaciones cibernéticas rusas anteriores.

El punto de partida de la secuencia de ataque es un correo electrónico de phishing enviado desde ukr.[.]net, probablemente en un intento de establecer credibilidad y asegurar la confianza de las víctimas objetivo. En el mensaje hay un enlace a un supuesto archivo ZIP, lo que hace que el usuario sea redirigido a una URL que carga una «imagen excepcionalmente pequeña», actuando efectivamente como un píxel de seguimiento para indicar a los operadores que se hizo clic en el enlace.

Una vez que se completa este paso, la víctima es redirigida a una URL secundaria desde donde se descarga el archivo. El archivo ZIP incluye una aplicación HTML (HTA) que, una vez iniciada, suelta un documento señuelo como mecanismo de distracción, mientras ejecuta etapas de seguimiento en segundo plano.

«El documento señuelo arrojado sirve como una táctica de ingeniería social, presentando una confirmación de recibo de una apelación del gobierno sobre un cruce fronterizo con Ucrania», dijo ClearSky. «Este señuelo tiene como objetivo mantener el barniz de legitimidad».

El archivo HTA también realiza comprobaciones para evitar su ejecución en entornos sandbox. Para ello, consulta la clave del Registro de Windows «KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate» para estimar la «antigüedad» del sistema operativo. El malware está diseñado para cancelar la ejecución si el sistema se instaló menos de diez días antes.

Si el sistema cumple con los criterios del entorno, el malware localiza el archivo ZIP descargado y extrae dos archivos de él (un Visual Basic Script (VBScript) y una imagen PNG) y los guarda en el disco con nombres diferentes. También crea una tarea programada para ejecutar VBScript como una forma de garantizar la persistencia en el sistema infectado.

La responsabilidad principal de VBScript es extraer código malicioso incrustado en la imagen PNG, un cargador ofuscado conocido como BadPaw que es capaz de contactar a un servidor de comando y control (C2) para descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.

«De acuerdo con el oficio ‘BadPaw’, si este archivo se ejecuta independientemente de la cadena de ataque completa, inicia una secuencia de código ficticio», explicó la compañía israelí de ciberseguridad. «Esta ejecución señuelo muestra una interfaz gráfica de usuario (GUI) que presenta una imagen de un gato, alineándose con el tema visual del archivo de imagen inicial del cual se extrajo el malware principal».

«Cuando se hace clic en el botón ‘MeowMeow’ dentro de la GUI del señuelo, la aplicación simplemente muestra un mensaje ‘Meow Meow Meow’, sin realizar más acciones maliciosas. Esto sirve como un señuelo funcional secundario para engañar al análisis manual».

El código malicioso de la puerta trasera se activa solo cuando se ejecuta con un determinado parámetro («-v») proporcionado por la cadena de infección inicial, y después de verificar que se está ejecutando en un punto final real en lugar de en una zona de pruebas, y que no se ejecutan herramientas forenses y de monitoreo como Wireshark, Procmon, Ollydbg y Fiddler en segundo plano.

En esencia, MeowMeow está equipado para ejecutar de forma remota comandos de PowerShell en el host comprometido y admitir operaciones del sistema de archivos, como la capacidad de leer, escribir y eliminar datos. ClearSky dijo que identificó cadenas en idioma ruso en el código fuente, lo que refuerza la evaluación de que la actividad es obra de un actor de amenazas de habla rusa.

«La presencia de estas cadenas en ruso sugiere dos posibilidades: el actor de la amenaza cometió un error de seguridad operativa (OPSEC) al no localizar el código para el entorno de destino ucraniano, o inadvertidamente dejó artefactos de desarrollo rusos dentro del código durante la fase de producción del malware», dijo.