{"id":572,"date":"2026-04-16T08:36:37","date_gmt":"2026-04-16T08:36:37","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/uac-0247-apunta-a-clinicas-y-al-gobierno-de-ucrania-en-una-campana-de-malware-de-robo-de-datos-cyberdefensa-mx\/"},"modified":"2026-04-16T08:36:37","modified_gmt":"2026-04-16T08:36:37","slug":"uac-0247-apunta-a-clinicas-y-al-gobierno-de-ucrania-en-una-campana-de-malware-de-robo-de-datos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/16\/uac-0247-apunta-a-clinicas-y-al-gobierno-de-ucrania-en-una-campana-de-malware-de-robo-de-datos-cyberdefensa-mx\/","title":{"rendered":"UAC-0247 apunta a cl\u00ednicas y al gobierno de Ucrania en una campa\u00f1a de malware de robo de datos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) ha revelado<\/a> detalles de una nueva campa\u00f1a que se ha dirigido a gobiernos e instituciones sanitarias municipales, principalmente cl\u00ednicas y hospitales de emergencia, para entregar malware capaz de robar datos confidenciales de navegadores web basados \u200b\u200ben Chromium y WhatsApp.<\/p>\n

La actividad, que se observ\u00f3 entre marzo y abril de 2026, se ha atribuido a un grupo de amenazas denominado UAC-0247<\/strong>. Los or\u00edgenes de la campa\u00f1a se desconocen actualmente.<\/p>\n

Seg\u00fan CERT-UA, el punto de partida de la cadena de ataque es un mensaje de correo electr\u00f3nico que dice ser una propuesta de ayuda humanitaria, instando a los destinatarios a hacer clic en un enlace que redirige a un sitio web leg\u00edtimo comprometido a trav\u00e9s de una vulnerabilidad de secuencias de comandos entre sitios (XSS) o un sitio falso creado con la ayuda de herramientas de inteligencia artificial (IA).<\/p>\n

Independientemente de cu\u00e1l sea el sitio, el objetivo es descargar y ejecutar un archivo de acceso directo de Windows (LNK), que luego ejecuta una aplicaci\u00f3n HTML remota (HTA) usando la utilidad nativa de Windows, \u00abmshta.exe\u00bb. El archivo HTA, por su parte, muestra una forma de se\u00f1uelo para desviar la atenci\u00f3n de la v\u00edctima, al mismo tiempo que recupera un binario responsable de inyectar c\u00f3digo shell en un proceso leg\u00edtimo (por ejemplo, \u00abruntimeBroker.exe\u00bb).<\/p>\n

\u00abAl mismo tiempo, las campa\u00f1as recientes han registrado el uso de un cargador de dos etapas, la segunda etapa del cual se implementa utilizando un formato de archivo ejecutable propietario (con soporte completo para secciones de c\u00f3digo y datos, importaci\u00f3n de funciones de bibliotecas din\u00e1micas y reubicaci\u00f3n), y la carga \u00fatil final se comprime y cifra adicionalmente\u00bb, dijo CERT-UA.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Uno de los etapas es una herramienta llamada TCP Reverse Shell o su equivalente, rastreada como RAVENSHELL, que establece una conexi\u00f3n TCP con un servidor de administraci\u00f3n para recibir comandos para su ejecuci\u00f3n en el host usando \u00abcmd.exe\u00bb.<\/p>\n

Tambi\u00e9n se descarga en la m\u00e1quina infectada una familia de malware denominada AGINGFLY y un script de PowerShell denominado SILENTLOOP que viene con varias funciones para ejecutar comandos, actualizar autom\u00e1ticamente la configuraci\u00f3n y obtener la direcci\u00f3n IP actual del servidor de administraci\u00f3n de un canal de Telegram, y recurrir a mecanismos alternativos para determinar la direcci\u00f3n de comando y control (C2).<\/p>\n

Desarrollado con C#, AGINGFLY est\u00e1 dise\u00f1ado para proporcionar control remoto de los sistemas afectados. Se comunica con un servidor C2 mediante WebSockets para obtener comandos que le permiten ejecutar comandos, iniciar un registrador de teclas, descargar archivos y ejecutar cargas \u00fatiles adicionales.<\/p>\n

\"\"<\/a><\/div>\n

Una investigaci\u00f3n de alrededor de una docena de incidentes ha revelado que estos ataques facilitan el reconocimiento, el movimiento lateral y el robo de credenciales y otros datos confidenciales de WhatsApp y los navegadores basados \u200b\u200ben Chromium. Estose logra mediante la implementaci\u00f3n de varias herramientas de c\u00f3digo abierto, como las que se enumeran a continuaci\u00f3n:<\/p>\n