La unidad de investigación Unit 42 de Palo Alto Network, ha identificado una nueva campaña de ciberataques dirigida a diplomáticos y llevada a cabo por el grupo de amenazas persistentes avanzadas (APT) conocido como Fighting Ursa. Este grupo, también identificado como APT28, Fancy Bear, y Sofacy, está asociado con la inteligencia militar rusa.

En su última campaña, Fighting Ursa utilizó un anuncio falso de venta de un automóvil para atraer a sus víctimas y distribuir el malware de puerta trasera denominado HeadLace. Este tipo de señuelo, que ofrece un automóvil para diplomáticos en venta, ha sido una táctica recurrente utilizada por los actores rusos durante años debido a su efectividad para atraer la atención del cuerpo diplomático y hacer que interactúen con contenido malicioso. 

En este ataque de 2024, se utilizó el servicio legítimo Webhook.site para alojar la URL inicial que iniciaba la cadena de infección. Este servicio, generalmente usado para proyectos de desarrollo legítimos, permite la creación de URLs aleatorias para diversos propósitos. En esta ocasión, Fighting Ursa aprovechó Webhook.site para crear una URL que devolvía una página HTML maliciosa. El código HTML utilizado en el ataque contenía múltiples elementos para automatizar el proceso de infección. Primero, verificaba si el dispositivo del visitante estaba basado en Windows. En caso afirmativo, redirigía a una imagen señuelo alojada en otro proveedor legítimo, ImgBB, un servicio gratuito de hospedaje de imágenes. La imagen falsa anunciaba un Audi Q7 Quattro SUV, bajo el título «Diplomatic Car For Sale». Además de imágenes del vehículo, el anuncio incluía detalles de contacto aparentemente falsos, con un número de teléfono registrado en Rumanía y el contacto figurando como el Centro de Aplicación de la Ley del Sureste de Europa, probablemente para darle mayor credibilidad al anuncio.

Cloaked Ursa y los coches de alta gama como cebo

En una campaña similar en 2023, otro grupo de amenazas, Cloaked Ursa, utilizó un anuncio de un BMW en venta para atacar misiones diplomáticas en Ucrania. Aunque no se ha establecido una conexión directa entre las dos campañas, la similitud en las tácticas empleadas apunta a un comportamiento común en estos grupos de amenaza rusos, incluyendo el uso prolongado de vulnerabilidades conocidas incluso después de haber sido expuestas.

En resumen, Fighting Ursa es un actor de amenazas altamente motivado que demuestra adaptabilidad y persistencia. Su infraestructura de ataque ha mostrado una evolución constante, como se ha destacado en un informe reciente de Recorded Future. Diversos informes de la industria han identificado que este actor malicioso utiliza una variedad de señuelos para distribuir el malware HeadLace, exclusivo de sus campañas.

La vigilancia constante y la implementación de medidas de seguridad adecuadas son cruciales para protegerse contra las tácticas empleadas por Fighting Ursa. Gracias a su innovación y sus profesionales, Palo Alto Networks protege a sus clientes contra el malware HeadLace y otras familias de malware mediante sus soluciones de seguridad de red, ofertas de Prisma Cloud y la línea de productos Cortex.