El actor de amenazas alineado con Bielorrusia conocido como Escritor fantasma (también conocido como UAC-0057 y UNC1151Consejo de Defensa y Seguridad Nacional de Ucrania) ha sido observado utilizando señuelos relacionados con Prometheus, una plataforma de aprendizaje en línea ucraniana, para apuntar a organizaciones gubernamentales en el país.
La actividad, según el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), implica el envío de correos electrónicos de phishing a entidades gubernamentales utilizando cuentas comprometidas. Ha estado activo desde la primavera de 2026.
«Por lo general, el correo electrónico contiene un archivo PDF adjunto con un enlace que, al hacer clic, conduce a la descarga de un archivo ZIP que contiene un archivo JavaScript», dijo la agencia. dicho en un informe del jueves.
El archivo JavaScript, denominado OYSTERFRESH, está diseñado para mostrar un documento señuelo como mecanismo de distracción, mientras escribe sigilosamente una carga útil ofuscada y cifrada llamada OYSTERBLUES en el Registro de Windows, además de descargar e iniciar OYSTERSHUCK, que es responsable de decodificar OYSTERBLUES.
OYSTERBLUES está equipado para recopilar una amplia gama de información del sistema, incluido el nombre de la computadora, la cuenta de usuario, la versión del sistema operativo, la hora del último inicio del sistema operativo y una lista de procesos en ejecución. Los datos recopilados se envían a un servidor de comando y control (C2) a través de una solicitud HTTP POST.
Luego espera más respuestas que contengan el código JavaScript de la siguiente etapa, que se ejecuta utilizando el función evaluar(). Se considera que la carga útil final será Cobalt Strike, un marco de simulación de adversario del que se abusa ampliamente para actividades posteriores a la explotación.
«Para reducir la probabilidad de que esta ciberamenaza sea explotada, es aconsejable aplicar enfoques básicos conocidos para reducir la superficie de ataque, específicamente restringiendo la capacidad de ejecutar wscript.exe para cuentas de usuario estándar», dijo CERT-UA.
La revelación se produce cuando el Consejo de Defensa y Seguridad Nacional de Ucrania reveló El uso por parte de Rusia de herramientas de inteligencia artificial (IA) como OpenAI ChatGPT y Google Gemini para explorar objetivos e incrustar la tecnología en malware para generar comandos maliciosos en tiempo de ejecución, al tiempo que insta a los grupos de hackers respaldados por el Kremlin a llevar a cabo ataques cibernéticos centrados en obtener inteligencia y garantizar una presencia a largo plazo en redes comprometidas para su posterior explotación, incluso para apoyar operaciones de influencia.
«Los principales vectores de penetración inicial en 2025 fueron la ingeniería social, la explotación de vulnerabilidades, el uso de cuentas RDP y VPN comprometidas, los ataques a las cadenas de suministro y el uso de software sin licencia que ya contiene puertas traseras integradas en la etapa de instalación», dijo el Consejo. «Los atacantes se centraron en robar información confidencial, interceptar comunicaciones y rastrear la ubicación de los objetivos».
En un desarrollo relacionado, los detalles han surgió sobre una campaña de propaganda pro-Kremlin que secuestró cuentas de usuarios reales de Bluesky para publicar contenido falso desde 2024. Las cuentas secuestradas incluían a periodistas y profesores. La actividad ha sido atribuida a una empresa con sede en Moscú llamada Social Design Agency, que está vinculada a una campaña conocida como Matryoshka. En algunos de estos casos, Bluesky ha tomado la medida de suspender las cuentas hasta que los propietarios inicien un reinicio.
