Una nueva oleada de intrusiones que ha golpeado a organismos públicos y centros sanitarios —sobre todo clínicas y hospitales de urgencias— vuelve a poner en evidencia cómo los atacantes mezclan técnicas tradicionales con herramientas modernas para robar información sensible. Así lo ha alertado el equipo de respuesta a emergencias informáticas de Ucrania, CERT-UA, que ha rastreado la actividad entre marzo y abril de 2026 y la ha vinculado a un grupo identificado como UAC-0247.
El punto de partida de estas intrusiones es, aparentemente, un gancho emocional: correos que prometen ayuda humanitaria y contienen un enlace. Ese vínculo puede dirigir a una web legítima comprometida a través de una vulnerabilidad de tipo cross-site scripting (XSS) o a un portal falso fabricado con asistencia de herramientas de inteligencia artificial. La intención real, en cualquier caso, es inducir al destinatario a descargar un acceso directo de Windows (archivo LNK) que, al activarse, lanza una aplicación HTML (HTA) a través de la utilidad nativa mshta.exe. Este flujo de ejecución aprovecha características válidas del sistema para ejecutar código malicioso sin levantar sospechas inmediatas.
Mientras la ventana HTA muestra un formulario o un señuelo para distraer al usuario, en segundo plano se descarga un ejecutable que inyecta código en un proceso legítimo del sistema (por ejemplo, runtimeBroker.exe). En algunas de las intrusiones analizadas se ha observado un cargador en dos etapas con un segundo módulo que utiliza un formato ejecutable propietario, con soporte para secciones de código y datos, importación de funciones y reubicaciones; además, el payload final llega comprimido y cifrado para dificultar su detección y análisis.
Entre los componentes identificados figura un shell inverso basado en TCP conocido como RAVENSHELL o variantes equivalentes, que abre una conexión con un servidor de mando y control para recibir instrucciones y ejecutar comandos mediante cmd.exe. También se han descargado herramientas construidas en .NET, como una familia con el nombre AGINGFLY que actúa como backdoor y se comunica con su C2 por WebSockets. Un script de PowerShell apodado SILENTLOOP aparece como facilitador: gestiona la ejecución de órdenes, actualiza configuraciones y obtiene la dirección del servidor de mando desde un canal de Telegram, recurriendo a métodos alternativos en caso de fallo.
El objetivo final descrito por los investigadores fue la exploración interna de las redes atacadas, el movimiento lateral entre sistemas y, muy especialmente, la extracción de credenciales y datos sensibles almacenados en navegadores basados en Chromium y en WhatsApp Web. Para conseguirlo, los operadores emplearon varias utilidades de código abierto que permiten, por ejemplo, evadir ciertas protecciones de Chromium para acceder a cookies y contraseñas guardadas, extraer y descifrar bases de datos locales de WhatsApp Web y elaborar túneles desde el interior de la red comprometida para exfiltrar información o recibir instrucciones adicionales.
Herramientas como Chisel y otras soluciones de tunneling, que tienen repositorios públicos y uso legítimo en administración y pruebas, fueron reutilizadas por los atacantes para pivotar y mantener canales de comunicación persistentes. RustScan aparece mencionado como ejemplo de escáner de red que facilita el reconocimiento, y en algunos incidentes se detectó incluso software de minería de criptomonedas en los equipos comprometidos, lo que indica una combinación de objetivos: desde el espionaje hasta la monetización directa del acceso.
Otro aspecto relevante del patrón es la distribución dirigida a ciertos colectivos a través de mensajería cifrada. CERT-UA detectó envíos maliciosos por Signal que contenían archivos ZIP preparados para desplegar AGINGFLY mediante la técnica conocida como side‑loading de DLL, una forma de engañar a aplicaciones legítimas para que carguen bibliotecas manipuladas. Esa evidencia sugiere que, además de instituciones civiles, representantes de las Fuerzas de Defensa de Ucrania también pudieron haber sido blanco de la campaña.
Para entender la dimensión operacional de la amenaza conviene remitirse a fuentes técnicas sobre cada uno de los elementos que aparecen en el ataque. El abuso de utilidades legítimas del sistema, como mshta.exe o PowerShell, es un patrón conocido y documentado por los fabricantes y los equipos de seguridad porque permite a los atacantes ejecutar cargas casi invisibles dentro de procesos confiables. Las herramientas de tunneling y escaneo citadas, con proyectos públicos en plataformas como GitHub, se pueden consultar para comprender cómo los recursos legítimos son reinterpretados con fines maliciosos; por ejemplo, el proyecto Chisel está disponible en su repositorio oficial en GitHub, y RustScan puede consultarse en su repositorio. La presencia de mineros como XMRig también es fácil de verificar en su web oficial xmrig.com.
¿Qué lecciones prácticas deja este caso? La primera es que las campañas efectivas combinan ingeniería social con abuso de funcionalidades legítimas del sistema, lo cual exige controles tanto en el perímetro como en el interior de la red. Limitar la capacidad de ejecutar atajos LNK, aplicaciones HTA y scripts JS, y controlar el uso de utilidades de administración como mshta.exe, powershell.exe o wscript.exe reduce superficies de ataque y obliga al atacante a usar métodos más ruidosos o complejos para lograr persistencia. Asimismo, monitorizar conexiones salientes inusuales, revisar integridad de procesos críticos y bloquear cargas útiles desconocidas en las cuentas de correo y aplicaciones de mensajería son medidas complementarias.
En el plano organizativo, la notificación temprana y la compartición de indicadores de compromiso entre agencias y proveedores de seguridad acelera la detección y respuesta. Grupos de respuesta como CERT-UA publican advertencias y análisis que sirven para coordinar mitigaciones; su portal puede consultarse en cert.gov.ua. Y para equipos técnicos y responsables de seguridad, es recomendable revisar las guías de mitigación y las políticas de bloqueo de ejecución de archivos no firmados o de tipos de archivo peligrosos, así como aplicar segmentación y controles de acceso mínimo para limitar el alcance de una intrusión.
En definitiva, esta campaña es un recordatorio de que la combinación de señuelos verosímiles, explotación de páginas web legítimas (o de páginas generadas por IA) y el aprovechamiento de herramientas administrativas del propio sistema sigue siendo una fórmula eficaz para actores con recursos. La defensa pasa por reducir las ventanas de exposición aplicando controles técnicos, políticas de seguridad y formación para que el personal no caiga en el cebo inicial.
Para ampliar la información con análisis técnicos y recomendaciones, además de consultar la comunicación oficial de CERT-UA, resulta útil revisar documentación y alertas sobre abuso de utilidades de Windows y técnicas de side‑loading publicadas por fabricantes y centros de respuesta, así como las páginas y repositorios de las herramientas mencionadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...