Se ha observado un grupo de actividad de amenazas previamente desconocido que se hace pasar por la empresa eslovaca de ciberseguridad ESET como parte de ataques de phishing dirigidos a entidades ucranianas.
La campa帽a, detectada en mayo de 2025, es rastreada por el equipo de seguridad bajo el nombre de No comestibleOchotensedescribi茅ndolo como alineado con Rusia.
芦InedibleOchotense envi贸 correos electr贸nicos de phishing y mensajes de texto de Signal, que contienen un enlace a un instalador troyanizado de ESET, a varias entidades ucranianas禄, dijo ESET en su Informe de actividad de APT del segundo trimestre de 2025 al tercer trimestre de 2025 compartido con The Hacker News.
Se eval煤a que InedibleOchotense comparte superposiciones t谩cticas con una campa帽a documentada por EclecticIQ que implic贸 el despliegue de una puerta trasera llamada BACKORDER y por CERT-UA como UAC-0212, que describe como un subgrupo dentro del grupo de pirater铆a Sandworm (tambi茅n conocido como APT44).
Si bien el mensaje de correo electr贸nico est谩 escrito en ucraniano, ESET dijo que la primera l铆nea usa una palabra rusa, lo que probablemente indica un error tipogr谩fico o de traducci贸n. El correo electr贸nico, que pretende ser de ESET, afirma que su equipo de monitoreo detect贸 un proceso sospechoso asociado con su direcci贸n de correo electr贸nico y que sus computadoras podr铆an estar en riesgo.
La actividad es un intento de capitalizar el uso generalizado del software de ESET en el pa铆s y la reputaci贸n de su marca para enga帽ar a los destinatarios para que instalen instaladores maliciosos alojados en dominios como esetsmart(.)com, esetscanner(.)com y esetremover(.)com.
El instalador est谩 dise帽ado para ofrecer el ESET AV Remover leg铆timo, junto con una variante de una puerta trasera de C# denominada Kalambur (tambi茅n conocida como SUMBUR), que utiliza la red de anonimato Tor para comando y control. Tambi茅n es capaz de eliminar OpenSSH y habilitar el acceso remoto a trav茅s del Protocolo de escritorio remoto (RDP) en el puerto 3389.
Vale la pena se帽alar que CERT-UA, en un informe publicado el mes pasado, atribuy贸 una campa帽a casi id茅ntica a UAC-0125, otro subgrupo dentro de Sandworm.
Ataques de gusanos de arena en Ucrania
Sandworm, seg煤n ESET, ha seguido montando campa帽as destructivas en Ucrania, lanzando dos programas maliciosos de limpieza rastreados como ZEROLOT y Sting dirigidos a una universidad an贸nima en abril de 2025, seguidos del despliegue de m煤ltiples variantes de malware de limpieza de datos dirigidos a los sectores gubernamental, energ茅tico, log铆stico y de cereales.
芦Durante este per铆odo, observamos y confirmamos que el grupo UAC-0099 realiz贸 operaciones de acceso iniciales y posteriormente transfiri贸 objetivos validados a Sandworm para actividades de seguimiento禄, dijo la compa帽铆a. 芦Estos ataques destructivos de Sandworm son un recordatorio de que los limpiadores siguen siendo una herramienta frecuente de los actores de amenazas alineados con Rusia en Ucrania禄.
RomCom aprovecha el d铆a 0 de WinRAR en ataques
Otro actor de amenazas destacado alineado con Rusia que ha estado activo durante el per铆odo es RomCom (tambi茅n conocido como Storm-0978, Tropical Scorpius, UNC2596 o Void Rabisu), que lanz贸 campa帽as de phishing a mediados de julio de 2025 que utilizaron como arma una vulnerabilidad WinRAR (CVE-2025-8088, puntuaci贸n CVSS: 8,8) como parte de ataques dirigidos a empresas financieras, de fabricaci贸n, de defensa y de log铆stica en Europa y Canad谩.
芦Los intentos de explotaci贸n exitosos generaron varias puertas traseras utilizadas por el grupo RomCom, espec铆ficamente una variante de SnipBot (tambi茅n conocido como SingleCamper o RomCom RAT 5.0), RustyClaw, y un agente Mythic禄, dijo ESET.
En un perfil detallado del RomCom a finales de septiembre de 2025, AttackIQ caracteriz贸 al grupo de piratas inform谩ticos por estar atento a los acontecimientos geopol铆ticos en torno a la guerra en Ucrania y aprovecharlos para llevar a cabo actividades de recolecci贸n de credenciales y exfiltraci贸n de datos probablemente en apoyo de los objetivos rusos.
芦RomCom se desarroll贸 inicialmente como un malware b谩sico para delitos electr贸nicos, dise帽ado para facilitar el despliegue y la persistencia de cargas 煤tiles maliciosas, permitiendo su integraci贸n en operaciones de ransomware destacadas y centradas en la extorsi贸n禄, dijo el investigador de seguridad Francis Guibernau. 芦RomCom pas贸 de ser un producto puramente impulsado por las ganancias a convertirse en una empresa de servicios p煤blicos apalancada en operaciones de estados-naci贸n禄.
