Se ha observado un grupo de actividad de amenazas previamente desconocido que se hace pasar por la empresa eslovaca de ciberseguridad ESET como parte de ataques de phishing dirigidos a entidades ucranianas.
La campaña, detectada en mayo de 2025, es rastreada por el equipo de seguridad bajo el nombre de No comestibleOchotensedescribiéndolo como alineado con Rusia.
«InedibleOchotense envió correos electrónicos de phishing y mensajes de texto de Signal, que contienen un enlace a un instalador troyanizado de ESET, a varias entidades ucranianas», dijo ESET en su Informe de actividad de APT del segundo trimestre de 2025 al tercer trimestre de 2025 compartido con The Hacker News.
Se evalúa que InedibleOchotense comparte superposiciones tácticas con una campaña documentada por EclecticIQ que implicó el despliegue de una puerta trasera llamada BACKORDER y por CERT-UA como UAC-0212, que describe como un subgrupo dentro del grupo de piratería Sandworm (también conocido como APT44).
Si bien el mensaje de correo electrónico está escrito en ucraniano, ESET dijo que la primera línea usa una palabra rusa, lo que probablemente indica un error tipográfico o de traducción. El correo electrónico, que pretende ser de ESET, afirma que su equipo de monitoreo detectó un proceso sospechoso asociado con su dirección de correo electrónico y que sus computadoras podrían estar en riesgo.
La actividad es un intento de capitalizar el uso generalizado del software de ESET en el país y la reputación de su marca para engañar a los destinatarios para que instalen instaladores maliciosos alojados en dominios como esetsmart(.)com, esetscanner(.)com y esetremover(.)com.
El instalador está diseñado para ofrecer el ESET AV Remover legítimo, junto con una variante de una puerta trasera de C# denominada Kalambur (también conocida como SUMBUR), que utiliza la red de anonimato Tor para comando y control. También es capaz de eliminar OpenSSH y habilitar el acceso remoto a través del Protocolo de escritorio remoto (RDP) en el puerto 3389.
Vale la pena señalar que CERT-UA, en un informe publicado el mes pasado, atribuyó una campaña casi idéntica a UAC-0125, otro subgrupo dentro de Sandworm.
Ataques de gusanos de arena en Ucrania
Sandworm, según ESET, ha seguido montando campañas destructivas en Ucrania, lanzando dos programas maliciosos de limpieza rastreados como ZEROLOT y Sting dirigidos a una universidad anónima en abril de 2025, seguidos del despliegue de múltiples variantes de malware de limpieza de datos dirigidos a los sectores gubernamental, energético, logístico y de cereales.
«Durante este período, observamos y confirmamos que el grupo UAC-0099 realizó operaciones de acceso iniciales y posteriormente transfirió objetivos validados a Sandworm para actividades de seguimiento», dijo la compañía. «Estos ataques destructivos de Sandworm son un recordatorio de que los limpiadores siguen siendo una herramienta frecuente de los actores de amenazas alineados con Rusia en Ucrania».
RomCom aprovecha el día 0 de WinRAR en ataques
Otro actor de amenazas destacado alineado con Rusia que ha estado activo durante el período es RomCom (también conocido como Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu), que lanzó campañas de phishing a mediados de julio de 2025 que utilizaron como arma una vulnerabilidad WinRAR (CVE-2025-8088, puntuación CVSS: 8,8) como parte de ataques dirigidos a empresas financieras, de fabricación, de defensa y de logística en Europa y Canadá.
«Los intentos de explotación exitosos generaron varias puertas traseras utilizadas por el grupo RomCom, específicamente una variante de SnipBot (también conocido como SingleCamper o RomCom RAT 5.0), RustyClaw, y un agente Mythic», dijo ESET.
En un perfil detallado del RomCom a finales de septiembre de 2025, AttackIQ caracterizó al grupo de piratas informáticos por estar atento a los acontecimientos geopolíticos en torno a la guerra en Ucrania y aprovecharlos para llevar a cabo actividades de recolección de credenciales y exfiltración de datos probablemente en apoyo de los objetivos rusos.
«RomCom se desarrolló inicialmente como un malware básico para delitos electrónicos, diseñado para facilitar el despliegue y la persistencia de cargas útiles maliciosas, permitiendo su integración en operaciones de ransomware destacadas y centradas en la extorsión», dijo el investigador de seguridad Francis Guibernau. «RomCom pasó de ser un producto puramente impulsado por las ganancias a convertirse en una empresa de servicios públicos apalancada en operaciones de estados-nación».
