Se ha observado que los actores de amenaza con presuntos lazos con Rusia aprovechan una característica de la cuenta de Google llamada contraseñas específicas de la aplicación (o contraseñas de aplicaciones) como parte de una nueva táctica de ingeniería social diseñada para obtener acceso a los correos electrónicos de las víctimas.
Los detalles de la campaña altamente específica fueron revelados por Google Threat Intelligence Group (GTIG) y el Laboratorio de Ciudadanos, afirmando que la actividad busca hacerse pasar por el Departamento de Estado de los Estados Unidos.
«Desde al menos abril hasta principios de junio de 2025, este actor se dirigió a académicos y críticos prominentes de Rusia, a menudo utilizando una amplia edificación de una relación y señuelos a medida para convencer al objetivo de establecer contraseñas específicas de la aplicación (ASP), dijeron los investigadores de GTIG Gabby Roncone y Wesley Shields.
«Una vez que el objetivo comparte el código de acceso ASP, los atacantes establecen un acceso persistente al buzón de la víctima».
La actividad ha sido atribuida por Google a un clúster de amenazas que rastrea como UNC6293, que según él está afiliado al grupo de piratería patrocinado por el estado ruso llamado APT29 (también conocido como BlueBravo, Ursa, Cozlarch, Cosy Bear, IceCap, Midnight Blizzard y los Dukes).
La ingeniería social se desarrolla en un lapso de varias semanas para establecer una relación con los objetivos, en lugar de inducir una sensación de presión o urgencia que de otro modo podría haber elevado sospechas.
Esto implica enviar correos electrónicos de phishing benignos disfrazados de invitaciones de reuniones que incluyen no menos de cuatro direcciones ficticias diferentes con la dirección de correo electrónico «@state.gov» en la línea CC para prestarle una chapa de credibilidad.
«Un objetivo podría razonar ‘si esto no es legítimo, seguramente uno de estos empleados del Departamento de Estado diría algo, especialmente si respondo y los mantengo en la línea CC'», dijo el Laboratorio de Ciudadanos.
«Creemos que el atacante es consciente de que el servidor de correo electrónico del Departamento de Estado aparentemente está configurado para aceptar todos los mensajes y no emite una respuesta de ‘rebote’ incluso cuando la dirección no existe».
Esto indica que estos ataques se planifican y ejecutan meticulosamente para engañar a las víctimas para separarse de una contraseña de 16 dígitos que brinda el permiso adversario para acceder a su buzón con el pretexto de habilitar «comunicaciones seguras entre empleados internos y socios externos».
Google describe estas contraseñas de la aplicación como una forma de una aplicación o dispositivo menos segura la capacidad de acceder a la cuenta de Google de un usuario que tiene habilitada la autenticación de dos factores (2FA).
«Cuando usa la verificación de 2 pasos, se pueden bloquear algunas aplicaciones o dispositivos menos seguros para acceder a su cuenta de Google», según la empresa. «Las contraseñas de la aplicación son una forma de permitir que la aplicación o el dispositivo bloqueado accedan a su cuenta de Google».
Los mensajes iniciales están diseñados para provocar una respuesta del objetivo para configurar una reunión, después de lo cual se les envía un documento PDF que enumera una serie de pasos para crear una contraseña de la aplicación para acceder de forma segura a un entorno de la nube del Departamento de Estado falso y compartir el código con ellos.
«Los atacantes configuraron un cliente de correo para usar el ASP, probablemente con el objetivo final de acceder y leer la correspondencia por correo electrónico de la víctima», dijo Gtig. «Este método también permite a los atacantes tener acceso persistente a las cuentas».
Google dijo que observó una segunda campaña con temas ucranianos, y que los atacantes registraron cuentas de víctimas principalmente utilizando representantes residenciales y servidores VPS para evadir la detección. La compañía dijo que desde entonces ha tomado medidas para asegurar las cuentas comprometidas por las campañas.
Los lazos de UNC6293 con APT29 provienen de una serie de ataques de ingeniería social similares que han aprovechado técnicas novedosas como el código de dispositivo Phishing y el dispositivo unen phishing para obtener acceso no autorizado a cuentas de Microsoft 365 desde el comienzo del año.
El phishing de unión de dispositivos es particularmente notable por el hecho de que engaña a las víctimas para que envíen a los atacantes un código OAuth generado por Microsoft para secuestrar sus cuentas.
«Desde abril de 2025, Microsoft ha observado a los presuntos actores de amenaza vinculados a rusos que utilizan mensajes de aplicaciones de terceros o correos electrónicos que hacen referencia a las próximas invitaciones de reuniones para entregar un enlace malicioso que contiene un código de autorización válido», reveló Microsoft el mes pasado.
«Cuando se hace clic, el enlace devuelve un token para el servicio de registro del dispositivo, lo que permite el registro del dispositivo del actor de amenaza al inquilino».
