Redacción Frontera Ink.
Actores de amenazas vinculados a Rusia están dirigiendo una nueva campaña de ciberataques contra entidades ucranianas, desplegando una puerta trasera basada en JavaScript que opera a través del navegador Microsoft Edge. La campaña, observada en febrero de 2026, utiliza señuelos con temas judiciales y de caridad para infectar los sistemas. Investigadores de LAB52, el equipo de inteligencia de la compañía de ciberseguridad S2 Group, han denominado esta nueva operación “DRILLAPP”.
El software malicioso es capaz de cargar y descargar archivos, activar el micrófono y capturar imágenes a través de la webcam del dispositivo comprometido. Estas capacidades se logran explotando las características intrínsecas del navegador web. LAB52 detalló estas funciones en una publicación de blog, subrayando la sofisticación de la amenaza.
La campaña DRILLAPP se ha manifestado en dos variantes distintas, diferenciadas principalmente por su cronología y métodos de distribución. La primera versión, detectada a principios de febrero de 2026, emplea un archivo de acceso directo de Windows (LNK) para crear una aplicación HTML (HTA) en una carpeta temporal. Esta aplicación carga posteriormente un script remoto alojado en Pastefy, un servicio legítimo de pegado de texto.
Los archivos LNK se copian en la carpeta de inicio de Windows para garantizar la persistencia, lanzándose automáticamente después de un reinicio del sistema. La cadena de ataque exhibe señuelos relacionados con la instalación de Starlink o con la fundación benéfica ucraniana “Come Back Alive Foundation”, dedicada a apoyar a las Fuerzas Armadas de Ucrania. La ejecución final de un archivo HTML a través de Microsoft Edge carga el script remoto ofuscado.
La segunda variante, identificada a finales de febrero de 2026, abandonó el uso de archivos LNK en favor de archivos CPL, módulos del Panel de Control de Windows que funcionan como bibliotecas DLL ejecutables. Esta nueva versión mantuvo un comportamiento similar al de la primera variante, pero presentó nuevos señuelos. Entre ellos se incluyen una imagen de un informe de incautación de armas y un informe de la Oficina Sur del Servicio Estatal de Auditoría de Ucrania en la región de Mykolaiv, mostrado desde el sitio web oficial de la Guardia Nacional de Ucrania.
LAB52 señaló que la puerta trasera descargada por la segunda variante incorpora tres nuevas funcionalidades. Estas permiten la lista recursiva de archivos, la carga masiva de archivos y la descarga de archivos desde internet. Los investigadores han evaluado que esta campaña comparte similitudes con una operación anterior atribuida a “Laundry Bear”, un grupo rastreado por Microsoft como “Void Blizzard”.
Desde 2024, Laundry Bear ha llevado a cabo diversas operaciones cibernéticas contra organizaciones gubernamentales occidentales. Se considera altamente probable que sea un actor de amenazas respaldado por el estado ruso. Este grupo tiene un interés particular en las fuerzas armadas, organizaciones gubernamentales, contratistas de defensa, organizaciones sociales y culturales, y proveedores de servicios digitales.
Créditos: Cybernews, LAB52 (S2 Group).
