{"id":157,"date":"2026-03-05T15:32:37","date_gmt":"2026-03-05T15:32:37","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/la-campana-vinculada-a-apt28-implementa-badpaw-loader-y-meowmeow-backdoor-en-ucrania-cyberdefensa-mx\/"},"modified":"2026-03-05T15:32:37","modified_gmt":"2026-03-05T15:32:37","slug":"la-campana-vinculada-a-apt28-implementa-badpaw-loader-y-meowmeow-backdoor-en-ucrania-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/la-campana-vinculada-a-apt28-implementa-badpaw-loader-y-meowmeow-backdoor-en-ucrania-cyberdefensa-mx\/","title":{"rendered":"La campa\u00f1a vinculada a APT28 implementa BadPaw Loader y MeowMeow Backdoor en Ucrania \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de una nueva campa\u00f1a cibern\u00e9tica rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas llamadas pata mala<\/strong> y MiauMiau<\/strong>.<\/p>\n

\u00abLa cadena de ataque se inicia con un correo electr\u00f3nico de phishing que contiene un enlace a un archivo ZIP. Una vez extra\u00eddo, un archivo HTA inicial muestra un documento se\u00f1uelo escrito en ucraniano sobre apelaciones para cruzar la frontera para enga\u00f1ar a la v\u00edctima\u00bb, ClearSky dicho<\/a> en un informe publicado esta semana.<\/p>\n

En paralelo, la cadena de ataque conduce a la implementaci\u00f3n de un cargador basado en .NET llamado BadPaw, que luego establece comunicaci\u00f3n con un servidor remoto para buscar e implementar una puerta trasera sofisticada llamada MeowMeow.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La campa\u00f1a se ha atribuido con moderada confianza al actor de amenazas patrocinado por el estado ruso conocido como APT28, bas\u00e1ndose en la huella de objetivos, la naturaleza geopol\u00edtica de los se\u00f1uelos utilizados y las superposiciones con t\u00e9cnicas observadas en operaciones cibern\u00e9ticas rusas anteriores. <\/p>\n

El punto de partida de la secuencia de ataque es un correo electr\u00f3nico de phishing enviado desde ukr.[.]net, probablemente en un intento de establecer credibilidad y asegurar la confianza de las v\u00edctimas objetivo. En el mensaje hay un enlace a un supuesto archivo ZIP, lo que hace que el usuario sea redirigido a una URL que carga una \u00abimagen excepcionalmente peque\u00f1a\u00bb, actuando efectivamente como un p\u00edxel de seguimiento para indicar a los operadores que se hizo clic en el enlace.<\/p>\n

Una vez que se completa este paso, la v\u00edctima es redirigida a una URL secundaria desde donde se descarga el archivo. El archivo ZIP incluye una aplicaci\u00f3n HTML (HTA) que, una vez iniciada, suelta un documento se\u00f1uelo como mecanismo de distracci\u00f3n, mientras ejecuta etapas de seguimiento en segundo plano.<\/p>\n

\u00abEl documento se\u00f1uelo arrojado sirve como una t\u00e1ctica de ingenier\u00eda social, presentando una confirmaci\u00f3n de recibo de una apelaci\u00f3n del gobierno sobre un cruce fronterizo con Ucrania\u00bb, dijo ClearSky. \u00abEste se\u00f1uelo tiene como objetivo mantener el barniz de legitimidad\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

El archivo HTA tambi\u00e9n realiza comprobaciones para evitar su ejecuci\u00f3n en entornos sandbox. Para ello, consulta la clave del Registro de Windows \u00abKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\InstallDate\u00bb para estimar la \u00abantig\u00fcedad\u00bb del sistema operativo. El malware est\u00e1 dise\u00f1ado para cancelar la ejecuci\u00f3n si el sistema se instal\u00f3 menos de diez d\u00edas antes.<\/p>\n

Si el sistema cumple con los criterios del entorno, el malware localiza el archivo ZIP descargado y extrae dos archivos de \u00e9l (un Visual Basic Script (VBScript) y una imagen PNG) y los guarda en el disco con nombres diferentes. Tambi\u00e9n crea una tarea programada para ejecutar VBScript como una forma de garantizar la persistencia en el sistema infectado.<\/p>\n

La responsabilidad principal de VBScript es extraer c\u00f3digo malicioso incrustado en la imagen PNG, un cargador ofuscado conocido como BadPaw que es capaz de contactar a un servidor de comando y control (C2) para descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.<\/p>\n

\u00abDe acuerdo con el oficio ‘BadPaw’, si este archivo se ejecuta independientemente de la cadena de ataque completa, inicia una secuencia de c\u00f3digo ficticio\u00bb, explic\u00f3 la compa\u00f1\u00eda israel\u00ed de ciberseguridad. \u00abEsta ejecuci\u00f3n se\u00f1uelo muestra una interfaz gr\u00e1fica de usuario (GUI) que presenta una imagen de un gato, aline\u00e1ndose con el tema visual del archivo de imagen inicial del cual se extrajo el malware principal\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abCuando se hace clic en el bot\u00f3n ‘MeowMeow’ dentro de la GUI del se\u00f1uelo, la aplicaci\u00f3n simplemente muestra un mensaje ‘Meow Meow Meow’, sin realizar m\u00e1s acciones maliciosas. Esto sirve como un se\u00f1uelo funcional secundario para enga\u00f1ar al an\u00e1lisis manual\u00bb.<\/p>\n

El c\u00f3digo malicioso de la puerta trasera se activa solo cuando se ejecuta con un determinado par\u00e1metro (\u00ab-v\u00bb) proporcionado por la cadena de infecci\u00f3n inicial, y despu\u00e9s de verificar que se est\u00e1 ejecutando en un punto final real en lugar de en una zona de pruebas, y que no se ejecutan herramientas forenses y de monitoreo como Wireshark, Procmon, Ollydbg y Fiddler en segundo plano.<\/p>\n

En esencia, MeowMeow est\u00e1 equipado para ejecutar de forma remota comandos de PowerShell en el host comprometido y admitir operaciones del sistema de archivos, como la capacidad de leer, escribir y eliminar datos. ClearSky dijo que identific\u00f3 cadenas en idioma ruso en el c\u00f3digo fuente, lo que refuerza la evaluaci\u00f3n de que la actividad es obra de un actor de amenazas de habla rusa.<\/p>\n

\u00abLa presencia de estas cadenas en ruso sugiere dos posibilidades: el actor de la amenaza cometi\u00f3 un error de seguridad operativa (OPSEC) al no localizar el c\u00f3digo para el entorno de destino ucraniano, o inadvertidamente dej\u00f3 artefactos de desarrollo rusos dentro del c\u00f3digo durante la fase de producci\u00f3n del malware\u00bb, dijo.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han revelado detalles de una nueva campa\u00f1a cibern\u00e9tica rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas llamadas pata mala y MiauMiau. \u00abLa cadena de ataque se inicia con un correo electr\u00f3nico de phishing que contiene un enlace a un archivo ZIP. Una vez extra\u00eddo, un archivo HTA inicial […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[286,492,489,133,24,226,490,491,493,488],"class_list":["post-157","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-apt28","tag-backdoor","tag-badpaw","tag-campana","tag-cyberdefensa-mx","tag-implementa","tag-loader","tag-meowmeow","tag-ucrania","tag-vinculada"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/157","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=157"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/157\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}