{"id":676,"date":"2026-04-27T14:20:13","date_gmt":"2026-04-27T14:20:13","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/phantomcore-explota-las-vulnerabilidades-de-trueconf-para-violar-las-redes-rusas-cyberdefensa-mx\/"},"modified":"2026-04-27T14:20:13","modified_gmt":"2026-04-27T14:20:13","slug":"phantomcore-explota-las-vulnerabilidades-de-trueconf-para-violar-las-redes-rusas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/phantomcore-explota-las-vulnerabilidades-de-trueconf-para-violar-las-redes-rusas-cyberdefensa-mx\/","title":{"rendered":"PhantomCore explota las vulnerabilidades de TrueConf para violar las redes rusas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Un grupo hacktivista proucraniano llamado <strong>n\u00facleo fantasma<\/strong> se ha atribuido a ataques dirigidos activamente a servidores que ejecutan el software de videoconferencia TrueConf en Rusia desde septiembre de 2025.<\/p>\n<p>Esto es seg\u00fan un informe publicado por Positive Technologies, que encontr\u00f3 que los actores de amenazas estaban aprovechando una cadena de exploits que comprende tres vulnerabilidades para ejecutar comandos de forma remota en servidores susceptibles.    <\/p>\n<p>\u00abA pesar de que no existen exploits para esta cadena de vulnerabilidades de acceso p\u00fablico, los atacantes de PhantomCore lograron realizar sus investigaciones y reproducir las vulnerabilidades, lo que llev\u00f3 a un gran n\u00famero de casos de su funcionamiento en organizaciones rusas\u00bb, afirman los investigadores Daniil Grigoryan y Georgy Khandozhko <a href=\"https:\/\/ptsecurity.com\/research\/pt-esc-threat-intelligence\/hiding-in-plain-sight-how-phantomcore-masks-its-activity-with-legitimate-tools\/\">dicho<\/a>.<\/p>\n<p><a href=\"https:\/\/global.ptsecurity.com\/en\/research\/pt-esc-threat-intelligence\/phantom-pains-a-large-scale-cyber-espionage-campaign-and-a-possible-split-of-the-apt-group-phantomcore\/\">n\u00facleo fantasma<\/a>tambi\u00e9n llamado Fairy Trickster, Head Mare, Rainbow Hyena y UNG0901, es el nombre asignado a un equipo de hackers con motivaciones pol\u00edticas y financieras que ha estado activo desde 2022 tras la guerra ruso-ucraniana. Se sabe que los ataques organizados por el grupo roban datos confidenciales e interrumpen las redes de destino, y en algunos casos incluso implementan ransomware basado en el c\u00f3digo fuente filtrado de Babuk y LockBit.<\/p>\n<p>\u00abEl grupo lleva a cabo operaciones a gran escala manteniendo un fuerte sigilo, permaneciendo invisible en las redes de las v\u00edctimas durante per\u00edodos prolongados, gracias a las actualizaciones continuas y la evoluci\u00f3n de las herramientas ofensivas internas\u00bb, se\u00f1al\u00f3 la compa\u00f1\u00eda en septiembre de 2025.<\/p>\n<p>El <a href=\"https:\/\/t.me\/Positive_Technologies\/3779\">Vulnerabilidades del servidor TrueConf<\/a> explotados en los ataques se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/ptsecurity.com\/research\/trending-vulnerabilities\/BDU-2025-10114\/\">BDU:2025-10114<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 7,5): una vulnerabilidad de control de acceso insuficiente que podr\u00eda permitir a un atacante realizar solicitudes a ciertos puntos finales administrativos (\/admin\/*) sin autenticaci\u00f3n.<\/li>\n<li><strong><a href=\"https:\/\/ptsecurity.com\/research\/trending-vulnerabilities\/BDU-2025-10115\/\">BDU:2025-10115<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 7,5): una vulnerabilidad que podr\u00eda permitir a un atacante leer archivos arbitrarios en el sistema.<\/li>\n<li><strong><a href=\"https:\/\/ptsecurity.com\/research\/trending-vulnerabilities\/BDU-2025-10116\/\">BDU-2025-10116<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 9,8): una vulnerabilidad de inyecci\u00f3n de comandos que podr\u00eda permitir a un atacante ejecutar comandos arbitrarios del sistema operativo.<\/li>\n<\/ul>\n<p>La explotaci\u00f3n exitosa de las tres vulnerabilidades podr\u00eda permitir a un atacante eludir la autenticaci\u00f3n y obtener acceso a la red de la organizaci\u00f3n. Aunque se implementaron parches de seguridad para abordar los problemas <a href=\"https:\/\/habr.com\/ru\/companies\/pt\/articles\/947166\/\">publicado por TrueConf<\/a> El 27 de agosto de 2025, se detectaron los primeros ataques dirigidos a servidores TrueConf a mediados de septiembre de 2025, seg\u00fan Positive Technologies.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-blindspot-d-2\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjXdwBgwvGAvD2t1bXXwTy6zsfnReMp12VglYCBAv0j9Tc0_gLKPqF5HJO1kOv26ZcGRlQJ1kRXGvtIusmtnUGUjonzq8YEigkMhMJvk_Cta9TYHzMvqVfa5SvoH-Z9-kw5VEH8sPeI1YKKrzFeNYp0Cn7mEGMn6PXOs0waZDIWKI5nccOxPyJR8MDQMasu\/s728-e100\/nudge-d-2.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>En los ataques observados por el proveedor de seguridad ruso, el compromiso del servidor TrueConf permiti\u00f3 a los actores de amenazas usarlo como trampol\u00edn para moverse lateralmente a trav\u00e9s de la red interna y lanzar cargas \u00fatiles maliciosas para facilitar el reconocimiento, la evasi\u00f3n de defensa y la recolecci\u00f3n de credenciales, as\u00ed como configurar canales de comunicaci\u00f3n utilizando utilidades de t\u00fanel.<\/p>\n<p>Se dice que al menos uno de esos compromisos exitosos condujo a la implementaci\u00f3n de un shell web basado en PHP que es capaz de cargar archivos en el host infectado y ejecutar comandos remotos, junto con un archivo PHP que funciona como un servidor proxy para disfrazar solicitudes maliciosas como provenientes de un servidor leg\u00edtimo.<\/p>\n<p>Algunas de las otras herramientas entregadas como parte del ataque son las siguientes:<\/p>\n<ul>\n<li><a href=\"https:\/\/securelist.ru\/head-mare-campaign-phantompxpigeon-backdoor-and-trueconf-software\/114998\/\">fantasmaPxPaloma<\/a>un cliente de videoconferencia TrueConf malicioso que implementa un shell inverso para conectarse a un servidor remoto y recibir tareas para su posterior ejecuci\u00f3n, lo que le permite ejecutar comandos, iniciar ejecutables y permitir que el tr\u00e1fico se env\u00ede a trav\u00e9s del shell web antes mencionado.<\/li>\n<li>PhantomSscp (DLL), MacTunnelRat (PowerShell), PhantomProxyLite (PowerShell), para establecer un punto de apoyo en un entorno violado a trav\u00e9s de un t\u00fanel SSH inverso<\/li>\n<li>ADRecon, para reconocimiento<\/li>\n<li><a href=\"https:\/\/github.com\/sadshade\/veeam-creds\/blob\/main\/Veeam-Get-Creds.ps1\">Veeam-Get-Creds<\/a>una versi\u00f3n modificada del script de PowerShell para recuperar contrase\u00f1as relacionadas con el software Veeam Backup &amp; Replication<\/li>\n<li>DumpIt y MemProcFS, para recolecci\u00f3n de credenciales<\/li>\n<li>Administraci\u00f3n remota de Windows (WinRM) y Protocolo de escritorio remoto (RDP), para movimiento lateral dentro del per\u00edmetro de la red<\/li>\n<li><a href=\"https:\/\/rt-solar.ru\/solar-4rays\/blog\/4559\/\">velociraptor<\/a>para acceso remoto<\/li>\n<li><a href=\"https:\/\/github.com\/rofl0r\/microsocks\">microcalcetines<\/a>, <a href=\"https:\/\/github.com\/b23r0\/rsocx\/\">rsocx<\/a>y <a href=\"https:\/\/github.com\/jun7th\/tsocks\/blob\/master\/tsocks.py\">calcetines<\/a>para controlar hosts comprometidos desde una infraestructura controlada por atacantes utilizando un proxy SOCKS<\/li>\n<\/ul>\n<p>Algunas intrusiones han utilizado una DLL para crear un usuario fraudulento llamado \u00abTrueConf2\u00bb con privilegios administrativos en un servidor de videoconferencia comprometido.<\/p>\n<p>Tambi\u00e9n se ha descubierto que las cadenas de ataque de PhantomCore utilizan se\u00f1uelos de phishing para el acceso inicial a organizaciones rusas en enero y febrero de 2026, utilizando archivos ZIP o RAR dise\u00f1ados para distribuir una puerta trasera que puede ejecutar comandos remotos en el host y servir cargas \u00fatiles arbitrarias.<\/p>\n<p>\u00abEl grupo PhantomCore es uno de los grupos m\u00e1s activos en el panorama de amenazas ruso\u00bb, concluyeron los investigadores. \u00abSu arsenal incluye herramientas disponibles p\u00fablicamente (Velociraptor, Memprocfs, Dokan, DumpIt) y herramientas patentadas (MacTunnelRAT, PhantomSscp, PhantomProxyLite). El grupo se dirige a organizaciones gubernamentales y privadas en una amplia gama de industrias\u00bb.<\/p>\n<p>\u00abPhantomCore busca activamente vulnerabilidades en el software nacional, desarrolla exploits y, por tanto, consigue la capacidad de infiltrarse en un gran n\u00famero de empresas rusas\u00bb.<\/p>\n<p>En los \u00faltimos meses, los sectores industrial y de aviaci\u00f3n en Rusia han sido blanco de campa\u00f1as de phishing orquestadas por un grupo con motivaci\u00f3n financiera llamado <a href=\"https:\/\/habr.com\/ru\/companies\/F6\/articles\/966072\/\">tapaFIX<\/a> implementar una puerta trasera denominada CapDoor que puede ejecutar comandos de PowerShell, archivos DLL y ejecutables recuperados de un servidor remoto, instalar archivos MSI y tomar capturas de pantalla. El apodo CapFIX es una referencia al hecho de que CapDoor se descubri\u00f3 por primera vez en 2025 y se distribuy\u00f3 mediante la t\u00e1ctica de ingenier\u00eda social ClickFix.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjEZuuuPWMyFN_wWZ1fvCD631KA1Ur4I-81gYVK5FXRu1L0ad42VM_KcPz07ZqcxZyA_b5x5AIC8uGcnxLiXgSO1SQ2cQV64z0U-kTG7bDJkILPpsN3wKMph0rvsYEUDTsh9VIJz_46S_oV9dUDdVWj5D3o9FpCIb60ta7BuYvvVV1FIVeXOUD4ORQQRhO7\/s1700-e365\/CapDoor.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjEZuuuPWMyFN_wWZ1fvCD631KA1Ur4I-81gYVK5FXRu1L0ad42VM_KcPz07ZqcxZyA_b5x5AIC8uGcnxLiXgSO1SQ2cQV64z0U-kTG7bDJkILPpsN3wKMph0rvsYEUDTsh9VIJz_46S_oV9dUDdVWj5D3o9FpCIb60ta7BuYvvVV1FIVeXOUD4ORQQRhO7\/s1700-e365\/CapDoor.png\" alt=\"\" border=\"0\" data-original-height=\"926\" data-original-width=\"720\"\/><\/a><\/div>\n<p>Un an\u00e1lisis m\u00e1s profundo de las campa\u00f1as del actor de amenazas en octubre y noviembre de 2025 ha descubierto el uso de ClickFix por parte del actor de amenazas para implementar familias de malware disponibles en el mercado como AsyncRAT y SectopRAT.<\/p>\n<p>\u00abSi bien el grupo anteriormente depend\u00eda de correos electr\u00f3nicos de phishing con temas financieros (criptomonedas y cualquier cosa relacionada con el dinero), ahora est\u00e1n enmascarando cada vez m\u00e1s sus correos electr\u00f3nicos como comunicaciones oficiales de agencias gubernamentales\u00bb, dijo Positive Technologies. <a href=\"https:\/\/ptsecurity.com\/research\/pt-esc-threat-intelligence\/an-alarm-you-can-t-ignore-how-capfix-attacks-russian-organizations\/\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>PhantomCore y CapFIX se encuentran entre una lista cada vez mayor de grupos de actividades de amenazas que han organizado ataques contra entidades rusas. Algunos de los otros grupos destacados incluyen:<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/securelist.ru\/tr\/geo-likho-hits-russian-aviation\/115306\/\">Geo Likho<\/a><\/strong>que se ha dirigido principalmente a los sectores de la aviaci\u00f3n y el transporte mar\u00edtimo en Rusia y Bielorrusia desde julio de 2024, mediante ataques de phishing que generan malware para robar informaci\u00f3n. Tambi\u00e9n se han detectado infecciones aisladas en Alemania, Serbia y Hong Kong, y se sospecha que son accidentales.<\/li>\n<li><strong><a href=\"https:\/\/ptsecurity.com\/research\/pt-esc-threat-intelligence\/mythic-likho-cyberattacks-on-russian-critical-information-infrastructure\/\">Likho m\u00edtico<\/a><\/strong>que utiliza se\u00f1uelos de phishing por correo electr\u00f3nico para entregar cargadores como HuLoader, <a href=\"https:\/\/securelist.ru\/merlin-loki-mythic-attacks\/111704\/\">Esmerej\u00f3n<\/a> (a <a href=\"https:\/\/github.com\/MythicAgents\/merlin\">Agente m\u00edtico<\/a>), o ReflectPulse que est\u00e1n dise\u00f1ados para desempaquetar la carga \u00fatil final, una puerta trasera llamada <a href=\"https:\/\/securelist.ru\/loki-agent-for-mythic\/110361\/\">Loki<\/a> esa es una versi\u00f3n compatible con Mythic de un agente dise\u00f1ado para el marco posterior a la explotaci\u00f3n de Havoc. La evidencia ha indicado que el grupo comparte v\u00ednculos con otro grupo conocido como ExCobalt, debido al uso del rootkit propietario de este \u00faltimo, Megatsune.<\/li>\n<li><strong>Hombre lobo de papel<\/strong> (tambi\u00e9n conocido como GOFFEE), que ha utilizado un canal dedicado de Telegram para distribuir un troyano llamado EchoGather bajo la apariencia de una herramienta para agregar dispositivos Starlink a una lista de excepciones, adem\u00e1s de compartir enlaces a p\u00e1ginas de phishing dise\u00f1adas para recopilar las credenciales de las cuentas de Telegram de las v\u00edctimas. Tambi\u00e9n se ha observado que el grupo utiliza un sitio web falso que anuncia un simulador de piloto de drones para lanzar EchoGather.<\/li>\n<li><strong>Hombre lobo vers\u00e1til<\/strong> (tambi\u00e9n conocido como <a href=\"https:\/\/habr.com\/ru\/companies\/pt\/articles\/1001196\/\">Alma sin coraz\u00f3n<\/a>), que ha utilizado sitios web falsos (\u00abstardebug[.]app\u00bb) para distribuir instaladores MSI falsos para Star Debug, una herramienta alternativa para administrar dispositivos Starlink, para implementar el marco de post-explotaci\u00f3n Sliver. Otro sitio web vinculado al actor de amenazas (\u00abalphafly-drones[.]com\u00bb) ha utilizado aplicaciones fraudulentas de simulaci\u00f3n de drones para probablemente eliminar SoullessRAT, un troyano de Windows que puede ejecutar comandos, cargar archivos, capturar capturas de pantalla y ejecutar archivos binarios.<\/li>\n<li><strong>hombre lobo \u00e1guila<\/strong>un grupo de amenazas previamente indocumentado que ha comprometido canales de Telegram centrados en drones para distribuir AquilaRAT a trav\u00e9s de un cuentagotas Rust que se hace pasar por una lista de verificaci\u00f3n para la activaci\u00f3n de dispositivos Starlink. Un troyano basado en Rust, AquilaRAT, puede realizar operaciones con archivos y ejecutar comandos.<\/li>\n<\/ul>\n<p>\u00abA pesar de compartir un objetivo com\u00fan y emplear t\u00e9cnicas similares, los cl\u00fasteres operaron de forma aut\u00f3noma, sin mostrar evidencia de coordinaci\u00f3n directa\u00bb, dijo la empresa rusa de ciberseguridad BI.ZONE. <a href=\"https:\/\/bi.zone\/eng\/expertise\/blog\/triedinoe-zlo-oborotni-atakuyut-sotrudnikov-silovykh-struktur\/\">dicho<\/a>.<\/p>\n<p>\u00abAdem\u00e1s de la distribuci\u00f3n de malware, Paper Werewolf secuestra cuentas de Telegram. El cl\u00faster probablemente las utiliza como canales confiables para respaldar futuros ataques. Versatile Werewolf aprovecha la IA generativa para desarrollar herramientas utilizadas en sus ataques, acelerando el proceso de desarrollo\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un grupo hacktivista proucraniano llamado n\u00facleo fantasma se ha atribuido a ataques dirigidos activamente a servidores que ejecutan el software de videoconferencia TrueConf en Rusia desde septiembre de 2025. Esto es seg\u00fan un informe publicado por Positive Technologies, que encontr\u00f3 que los actores de amenazas estaban aprovechando una cadena de exploits que comprende tres vulnerabilidades [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,851,95,36,2114,153,1344,1429,220,342],"class_list":["post-676","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-explota","tag-las","tag-para","tag-phantomcore","tag-redes","tag-rusas","tag-trueconf","tag-violar","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=676"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/676\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}