Un actor alineado con Bielorrusia conocido públicamente como Ghostwriter —también rastreado como FrostyNeighbor, PUSHCHA, Storm-0257, TA445, Umbral Bison / RepeatingUmbra, UNC1151, entre otros— ha reactivado una serie de campañas dirigidas contra instituciones gubernamentales y de defensa en Ucrania, según análisis recientes compartidos con medios y vendor labs. Estas operaciones, activas desde al menos 2016, muestran una evolución constante en métodos y herramientas: desde el uso de PicassoLoader y Cobalt Strike hasta artimañas como la explotación de vulnerabilidades en WinRAR (CVE-2023-38831) y fallos en Roundcube webmail (CVE-2024-42009).
Lo que distingue a este grupo no es solo la persistencia histórica, sino su madurez operativa. Los atacantes combinan validaciones servidor-lado para evitar activar cargas maliciosas fuera del objetivo (geofencing), emplean CAPTCHAs dinámicos como técnica anti-análisis, y seleccionan manualmente víctimas de alto valor tras recoger huellas del sistema. El flujo típico detectado desde marzo de 2026 utiliza PDFs señuelo que incluyen enlaces a archivos RAR; esos RAR contienen payloads JavaScript que ejecutan una versión de PicassoLoader para, en última instancia, desplegar Cobalt Strike Beacon en los sistemas de interés.
Además del objetivo principal en Ucrania, campañas anteriores y paralelas han afectado a Polonia, Lituania y otros países de la región, con una victimología más amplia que abarca sectores industriales, sanitarios y logísticos. La estrategia de comprometer cuentas de correo legítimas y usarlas para propagar nuevos mensajes de phishing agrava el riesgo: un solo buzón tomado puede convertirse en plataforma de compromiso en cadena, permitiendo sondeos internos, exfiltración de contactos y escalada de acceso.
Estas tácticas encajan en un contexto más amplio donde tanto grupos estatales o alineados como actores criminales y hacktivistas operan con objetivos distintos pero a menudo solapados: interrumpir, espiar o lucrarse. Informes contemporáneos han señalado campañas de Gamaredon contra instituciones ucranianas, operaciones de hacktivistas pro-ucranianos contra blancos rusos y estafas financieras que abusan de contabilidades comprometidas para desviar pagos.
Para defensores y responsables de seguridad esto tiene varias implicaciones prácticas. Primero, la combinación de señuelos convincentes y validaciones servidor-lado complica el análisis tradicional, porque muchas muestras no muestran el payload si se consultan desde IPs o user agents fuera del blanco. Segundo, la existencia de múltiples etapas (dropper JavaScript → loader → Beacon) exige detección en varios niveles: análisis de adjuntos y enlaces, instrumentación del navegador/JS, comportamiento en endpoint y telemetría de red persistente.
Las recomendaciones concretas comienzan por corregir vectores de explotación conocidos: aplicar parches y mitigaciones para componentes como WinRAR y Roundcube, revisar configuraciones y actualizar a versiones sin las vulnerabilidades referidas (ver las fichas CVE para detalles técnicos). Para referencias oficiales sobre las vulnerabilidades citadas consulte las entradas en la base de datos nacional de vulnerabilidades: CVE-2023-38831 y CVE-2024-42009.
En paralelo, refuerce la protección en el perímetro y el correo: habilite autenticación multifactor obligatoria, implemente políticas SPF/DKIM/DMARC con monitoreo activo, deshabilite o restrinja la ejecución de código desde archivos comprimidos o documentos embebidos, y utilice sandboxing de enlaces y adjuntos. La instrumentación EDR con detección de comportamiento (p. ej. procesos que inician PowerShell/JS desde RAR o que abren conexiones persistentes a dominios inusuales) aumenta la probabilidad de detección temprana.
Desde la red, monitorice y bloquee indicadores IOCs y patrones de beaconing asociados a cargas como Cobalt Strike; limite el tráfico saliente a destinos autorizados y aplique segmentación para impedir movimientos laterales. Para organizaciones que operan en el entorno de defensa y administración pública, considere controles adicionales como listas blancas de aplicaciones (application allowlisting) y revisiones rigurosas de privilegios y accesos remotos.
Si sospecha compromiso, actúe con contención inmediata: aísle las máquinas afectadas, preserve logs y evidencias, cambie credenciales comprometidas y realice una búsqueda de alcance para detectar exfiltraciones y cuentas usadas para pivotar. Coordine la respuesta con autoridades nacionales de ciberseguridad y proveedores de inteligencia, y comparta TTPs y artefactos para mejorar la detección colectiva.
La relación entre operaciones estatales, hacktivismo y crimen organizado en la región demuestra que la ciberseguridad ya no es una cuestión solo técnica, sino geopolítica y económica. Para mantener una postura defensiva eficaz, organizaciones y proveedores deben combinar parcheo diligente, monitoreo en múltiples capas y colaboración sectorial. Para seguir la cobertura técnica y los análisis publicados sobre estas campañas puede consultarse la prensa especializada y los análisis de vendors: The Hacker News y los reportes de investigación en el ecosistema de seguridad como los que publica ESET en WeLiveSecurity.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...