Campaña de ataque UAC-0212 contra las infraestructuras críticas de Ucrania

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha notificado de una nueva campaña de ataque sobre sus infraestructuras críticas, basándose en un análisis propio sobre ataques dirigidos entre los meses de julio de 2024 a febrero de 2025. Este tipo de campaña se ha relacionado con conocidos grupos de hackers rusos como Sandworm, APT44, Seashell Blizzard. El objetivo principal de estos atacantes es comprometer los sistemas de información y comunicación de las infraestructuras críticas ucranianas.

El método más utilizado por los atacantes como puerta de entrada es establecer comunicación con las empresas, haciéndose pasar por potenciales clientes. Cuando adquieren cierto nivel de confianza con la empresa, envían supuesta “documentación técnica” mediante un enlace hacia un documento PDF. Por medio de este enlace, se explota la vulnerabilidad CVE-2024-38213, haciendo que la víctima descargue un archivo LNK oculto, omitiendo así los mecanismos de protección web de los sistemas Windows. Una vez ejecutado, este archivo activa un comando PowerShell que, mientras muestra el documento PDF, descarga e instala en secreto archivos ejecutables EXE/DLL maliciosos en el equipo víctima.

Para la implementación de estos ataques, CERT-UA ha identificado el uso de herramientas de explotación de software como SECONDBEST, EMPIREPAST, SPARK, CROOKBAG. También se destaca el uso de RSYNC, para poder recopilar información de forma persistente.