Hace poco los equipos de respuesta a incidentes de Ucrania identificaron una nueva familia de malware que han bautizado como AgingFly, desplegada en campañas dirigidas contra administraciones locales y centros sanitarios. Según el informe público del CERT-UA, las intrusiones no solo buscaban información institucional: las evidencias forenses sugieren que también hubo intentos de comprometer a personal vinculado a las Fuerzas de Defensa.
El punto de entrada es clásico pero efectivo: un mensaje de correo que simula una oferta de ayuda humanitaria e incluye un enlace para “más información”. Ese enlace puede llevar a un sitio legítimo que previamente fue vulnerado mediante cross-site scripting (XSS) o a una página falsa creada por herramientas de inteligencia artificial. El objetivo es inducir al usuario a descargar un archivo comprimido que contiene un acceso directo (LNK) que, al activarse, invoca al manejador HTA integrado en Windows.
El archivo HTA se descarga y ejecuta desde un recurso remoto, muestra un formulario de distracción para no levantar sospechas y crea una tarea programada cuyo propósito es recuperar y lanzar un ejecutable. Ese EXE inyecta shellcode en un proceso legítimo y da paso a un cargador en dos etapas: la segunda fase usa un formato ejecutable personalizado y el payload final llega comprimido y cifrado.
Para establecer comunicación con sus operadores, los atacantes han empleado técnicas de "staging": se han utilizado stagers tipo reverse shell basados en TCP (CERT-UA menciona equivalentes a RAVENSHELL) y un canal cifrado con XOR hacia un servidor de mando y control (C2) para ejecutar comandos a través del intérprete de comandos de Windows. Además, los operadores usan un script en PowerShell denominado SILENTLOOP que controla la ejecución de órdenes, actualiza configuraciones y obtiene la dirección del C2 desde un canal de Telegram o mediante mecanismos de reserva.
La carga final, AgingFly, está escrita en C# y proporciona control remoto, ejecución de comandos, exfiltración de ficheros, captura de pantallas, registro de teclas y la capacidad de ejecutar código arbitrario. Una particularidad relevante es que el malware no almacena internamente sus manejadores de comandos: en lugar de incluirlos, los recupera como código fuente desde el servidor C2 y los compila en la máquina víctima en tiempo de ejecución. Como explica el propio CERT-UA, esta estrategia reduce el tamaño del payload inicial y permite que los atacantes modifiquen o amplíen funcionalidades bajo demanda, aunque a costa de depender de la conectividad al C2 y de aumentar la huella en tiempo de ejecución.
En varias de las intrusiones analizadas, los responsables también sustrajeron credenciales y datos de navegación. Para ello aprovecharon herramientas forenses de código abierto capaces de extraer y descifrar información almacenada por navegadores basados en Chromium, como cookies y contraseñas guardadas, sin necesidad de privilegios administrativos. Del mismo modo, intentaron recuperar datos de la aplicación de WhatsApp para Windows mediante utilidades que permiten descifrar sus bases de datos locales.
El actor detrás de estas operaciones no se limitó al robo de credenciales: desplegó actividades de reconocimiento y movimiento lateral dentro de las redes comprometidas. Para estas fases recurrió a herramientas públicas bien conocidas en la comunidad, incluyendo escáneres de puertos y soluciones de tunneling que facilitan el acceso y el reenvío de tráfico hacia servidores fuera de la red objetivo. Repositorios públicos como los de RustScan, ligolo-ng y chisel son ejemplos de proyectos que, aunque legítimos, pueden emplearse para estos fines en manos de actores maliciosos.
CERT-UA ha atribuido estas campañas a un cluster de amenazas que registran como UAC-0247 y ha publicado indicaciones técnicas y mitigaciones. Entre ellas figura la recomendación explícita de bloquear la ejecución de archivos LNK, HTA y JS como una medida para interrumpir la cadena de ataque que usan estos operadores.
Más allá del bloqueo de tipos de fichero, existen medidas prácticas que reducen el riesgo: activar la autenticación multifactor en todas las cuentas, rotar contraseñas expuestas, limitar los privilegios locales, revisar y restringir las tareas programadas, monitorizar conexiones salientes inusuales y emplear soluciones EDR que detecten inyecciones de procesos o compilaciones dinámicas. Las organizaciones también deben reforzar la higiene del correo electrónico con filtrado de enlaces y sandboxing, y mantener programas de concienciación para que el personal identifique señuelos como ofertas de ayuda o archivos comprimidos inesperados.
Si buscas referencias para profundizar, puedes leer el aviso técnico del CERT-UA donde se detallan indicadores y tácticas observadas: CERT-UA: informe sobre AgingFly. Para guías de mitigación y reglas aplicables en entornos Windows conviene revisar la documentación de Microsoft sobre reducción de superficie de ataque y reglas ASR, que permiten bloquear la ejecución de tipos de fichero peligrosos: Microsoft Defender – Attack Surface Reduction. Y para mejores prácticas frente al phishing, la agencia CISA mantiene recomendaciones prácticas y recursos formativos: CISA – Tips y alertas de seguridad.
El caso de AgingFly recuerda dos lecciones importantes: la primera, que muchas cadenas de intrusión comienzan con técnicas de ingeniería social muy sencillas; la segunda, que los desarrollos legítimos de código abierto y las herramientas de administración pueden ser reutilizados por atacantes con fines de espionaje o sabotaje. En este contexto, la combinación de controles técnicos, visibilidad continua y formación del personal sigue siendo la defensa más efectiva para organizaciones con perfiles sensibles como gobiernos locales y hospitales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...