{"id":259,"date":"2026-03-16T11:46:00","date_gmt":"2026-03-16T11:46:00","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/16\/drillapp-backdoor-apunta-a-ucrania-y-abusa-de-la-depuracion-de-microsoft-edge-para-espionaje-sigiloso-cyberdefensa-mx\/"},"modified":"2026-03-16T11:46:00","modified_gmt":"2026-03-16T11:46:00","slug":"drillapp-backdoor-apunta-a-ucrania-y-abusa-de-la-depuracion-de-microsoft-edge-para-espionaje-sigiloso-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/16\/drillapp-backdoor-apunta-a-ucrania-y-abusa-de-la-depuracion-de-microsoft-edge-para-espionaje-sigiloso-cyberdefensa-mx\/","title":{"rendered":"DRILLAPP Backdoor apunta a Ucrania y abusa de la depuraci\u00f3n de Microsoft Edge para espionaje sigiloso \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Las entidades ucranianas se han convertido en el objetivo de una nueva campa\u00f1a probablemente orquestada por actores de amenazas vinculados a Rusia, seg\u00fan un informe del equipo de inteligencia de amenazas LAB52 de S2 Grupo.<\/p>\n

La campa\u00f1a, observado<\/a> en febrero de 2026, se ha evaluado que comparte superposiciones con una campa\u00f1a anterior montada por Laundry Bear (tambi\u00e9n conocido como UAC-0190 o Void Blizzard) dirigida a las fuerzas de defensa ucranianas con una familia de malware conocida como PLUGGYAPE.<\/p>\n

La actividad de ataque \u00abemplea varios se\u00f1uelos con temas judiciales y de caridad para implementar una puerta trasera basada en JavaScript que se ejecuta a trav\u00e9s del navegador Edge\u00bb, dijo la compa\u00f1\u00eda de ciberseguridad. nombre en clave TALADRO<\/strong>el malware es capaz de cargar y descargar archivos, aprovechar el micr\u00f3fono y capturar im\u00e1genes a trav\u00e9s de la c\u00e1mara web aprovechando las funciones del navegador web.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se han identificado dos versiones diferentes de la campa\u00f1a, y la primera iteraci\u00f3n se detect\u00f3 a principios de febrero mediante el uso de un archivo de acceso directo de Windows (LNK) para crear una aplicaci\u00f3n HTML (HTA) en la carpeta temporal, que luego carga un script remoto alojado en Pastefy, un servicio de pegado leg\u00edtimo.<\/p>\n

Para establecer la persistencia, los archivos LNK se copian a la carpeta de inicio de Windows para que se inicien autom\u00e1ticamente despu\u00e9s de reiniciar el sistema. Luego, la cadena de ataque muestra una URL que contiene se\u00f1uelos relacionados con la instalaci\u00f3n de Starlink o una organizaci\u00f3n ben\u00e9fica ucraniana llamada Come Back Alive Foundation.<\/p>\n

El archivo HTML finalmente se ejecuta a trav\u00e9s del navegador Microsoft Edge en modo sin cabeza<\/a>que luego carga el script ofuscado remoto alojado en Pastefy.<\/p>\n

El navegador se ejecuta con par\u00e1metros adicionales como \u2013no-sandbox, \u2013disable-web-security, \u2013allow-file-access-from-files, \u2013use-fake-ui-for-media-stream, \u2013auto-select-screen-capture-source=true y \u2013disable-user-media-security, lo que le otorga acceso al sistema de archivos local, as\u00ed como a la c\u00e1mara, el micr\u00f3fono y la captura de pantalla sin requerir ninguna interacci\u00f3n del usuario.<\/p>\n

\"\"<\/a><\/div>\n

B\u00e1sicamente, el artefacto funciona como una puerta trasera liviana para facilitar el acceso al sistema de archivos y capturar audio del micr\u00f3fono, video de la c\u00e1mara e im\u00e1genes de la pantalla del dispositivo a trav\u00e9s del navegador. Tambi\u00e9n genera una huella digital del dispositivo utilizando una t\u00e9cnica llamada huellas digitales en lienzo<\/a> cuando se ejecuta por primera vez y utiliza Pastefy como solucionador de ca\u00eddas muertas para recuperar una URL de WebSocket utilizada para comunicaciones de comando y control (C2).<\/p>\n

El malware transmite los datos de las huellas dactilares del dispositivo junto con el pa\u00eds de la v\u00edctima, que se determina a partir de la zona horaria de la m\u00e1quina. Comprueba espec\u00edficamente si las zonas horarias corresponden a Reino Unido, Rusia, Alemania, Francia, China, Jap\u00f3n, Estados Unidos, Brasil, India, Ucrania, Canad\u00e1, Australia, Italia, Espa\u00f1a y Polonia. Si ese no es el caso, por defecto ser\u00e1 EE.UU.<\/p>\n

La segunda versi\u00f3n de la campa\u00f1a, detectada a finales de febrero de 2026, evita los archivos LNK para los m\u00f3dulos del Panel de control de Windows, manteniendo la secuencia de infecci\u00f3n pr\u00e1cticamente intacta. Otro cambio notable tiene que ver con la propia puerta trasera, que ahora se ha actualizado para permitir la enumeraci\u00f3n recursiva de archivos, la carga de archivos por lotes y la descarga de archivos arbitrarios.<\/p>\n

\u00abPor razones de seguridad, JavaScript no permite la descarga remota de archivos\u00bb, dijo LAB52. \u00abEs por eso que los atacantes usan el Chrome DevTools Protocol (CDP), un protocolo interno de los navegadores basados \u200b\u200ben Chromium que s\u00f3lo se puede usar cuando el par\u00e1metro \u2013remote-debugging-port est\u00e1 habilitado\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se cree que la puerta trasera a\u00fan se encuentra en las etapas iniciales de desarrollo. Se observ\u00f3 que una variante temprana del malware detectada en la naturaleza el 28 de enero de 2026 simplemente se comunicaba con el dominio \u00abgnome\u00bb.[.]com\u00bb en lugar de descargar la carga \u00fatil principal de Pastefy.<\/p>\n

\u00abUno de los aspectos m\u00e1s notables es el uso del navegador para implementar una puerta trasera, lo que sugiere que los atacantes est\u00e1n explorando nuevas formas de evadir la detecci\u00f3n\u00bb, dijo el proveedor de seguridad espa\u00f1ol.<\/p>\n

\u00abEl navegador es ventajoso para este tipo de actividad porque es un proceso com\u00fan y generalmente no sospechoso, ofrece capacidades extendidas accesibles a trav\u00e9s de par\u00e1metros de depuraci\u00f3n que permiten acciones inseguras como la descarga de archivos remotos, y proporciona acceso leg\u00edtimo a recursos confidenciales como el micr\u00f3fono, la c\u00e1mara o la grabaci\u00f3n de pantalla sin activar alertas inmediatas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Las entidades ucranianas se han convertido en el objetivo de una nueva campa\u00f1a probablemente orquestada por actores de amenazas vinculados a Rusia, seg\u00fan un informe del equipo de inteligencia de amenazas LAB52 de S2 Grupo. La campa\u00f1a, observado en febrero de 2026, se ha evaluado que comparte superposiciones con una campa\u00f1a anterior montada por Laundry […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[883,27,492,24,905,904,906,907,50,36,908,493],"class_list":["post-259","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abusa","tag-apunta","tag-backdoor","tag-cyberdefensa-mx","tag-depuracion","tag-drillapp","tag-edge","tag-espionaje","tag-microsoft","tag-para","tag-sigiloso","tag-ucrania"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=259"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/259\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}