A mediados de enero se ha identificado una nueva oleada de phishing dirigido vinculada al grupo PhantomCore, con ataques coordinados los días 19 y 21 contra organizaciones de múltiples sectores en Rusia —incluidos vivienda y servicios comunales, financiero, aeroespacial y grandes marketplaces—, así como contra compañías en Bielorrusia. La campaña combina ingeniería social convincente con un backdoor en PowerShell orientado al ciberespionaje.
Quién es PhantomCore y por qué su campaña de phishing es especialmente relevante
PhantomCore se monitoriza activamente desde 2024 y se perfila como un grupo centrado en ataques contra entidades rusas y bielorrusas. Su nombre se asocia al uso del espacio de nombres Phantom en herramientas .NET y a la cadena MicrosoftStatisticCore, observada en tareas programadas de sistemas comprometidos. Su enfoque y cadena de ataque son consistentes con operaciones de ciberespionaje sostenido, más que con campañas masivas oportunistas.
La técnica combina correo de phishing, ejecución de scripts en PowerShell, persistencia mediante el Programador de tareas de Windows y control remoto del host infectado. La campaña destaca por el uso combinado de archivos LNK y un falso documento DOC, lo que dificulta la detección mediante controles básicos y aumenta la probabilidad de que el usuario abra el adjunto.
Cadena de infección: del correo de phishing al control remoto
Archivos LNK y falsos documentos DOC como vector de ejecución
Los atacantes envían correos con el asunto «Términos de referencia para aprobación» (o equivalentes), lo que resulta verosímil en entornos corporativos. El mensaje incluye un archivo comprimido con dos elementos: un acceso directo LNK y un supuesto documento DOC. En realidad, ese “DOC” es un archivo RAR que contiene un documento señuelo legítimo, usado únicamente para no levantar sospechas.
Cuando la víctima ejecuta el archivo LNK, se lanza una instrucción cmd que localiza PowerShell mediante variables de entorno y descarga la primera etapa del código malicioso. Esta técnica se considera Living off the Land: se abusa de herramientas nativas de Windows para reducir la huella y evadir muchos motores de detección basados en firmas.
Persistencia mediante el Programador de tareas de Windows
El script de PowerShell de primera fase realiza tres acciones principales: muestra al usuario el documento señuelo, carga en memoria la siguiente etapa de la malware y se registra en el Programador de tareas de Windows. La tarea creada se ejecuta inmediatamente, después cada 61 segundos y al inicio de cada nuevo día, garantizando un acceso persistente incluso tras reinicios o intentos de limpieza superficiales.
Sin un seguimiento centralizado de tareas programadas y sin un EDR o SIEM que correlacione creación de tareas, usuario y proceso de origen, este patrón de persistencia puede pasar inadvertido durante largos periodos, incrementando el impacto potencial del incidente.
Capacidades del backdoor PhantomCore en PowerShell
La segunda etapa es un script de PowerShell prácticamente idéntico a la variante PhantomCore.PollDL (PhantomeRemote). Tras la instalación, el backdoor establece contacto con el servidor de mando y control (C2), enviando una petición GET con un UUID del equipo, el nombre del host y el dominio al que pertenece.
El C2 responde con órdenes en el formato cmd:{comando}|{id_comando}. El código se ejecuta mediante la función Invoke-Command de PowerShell y los resultados se devuelven al servidor a través de peticiones POST. En la versión actual se ha observado exclusivamente el tipo de orden cmd, aunque en campañas anteriores se documentó también la instrucción download, destinada a transferir ficheros al sistema comprometido.
En la práctica, PhantomCore habilita un intérprete de comandos remoto en cada host infectado, apto para reconocimiento interno, robo de información y despliegue de herramientas adicionales de movimiento lateral o malware complementario.
Infraestructura maliciosa e indicadores de compromiso (IoC)
El análisis técnico ha permitido identificar varios dominios utilizados como alojamiento de scripts maliciosos, entre ellos: ink-master[.]ru, spareline[.]ru, shibargan[.]ru, act-print[.]ru, metelkova[.]ru, mistralkorea[.]ru y ast-automation[.]ru. Cualquier comunicación saliente hacia estos dominios debe considerarse un indicador de compromiso relevante para equipos de monitoreo y analistas SOC.
Los correos maliciosos se enviaron desde direcciones asociadas aparentemente a empresas rusas legítimas, como npocable-s[.]ru, satnet-spb[.]ru, nppntt[.]ru, tk-luch[.]ru y skbkp.tarusa[.]ru. Esto sugiere la comprometación de infraestructuras o cuentas de correo legítimas, lo que mejora considerablemente la tasa de apertura al aprovechar la reputación y las configuraciones SPF/DKIM genuinas de esos dominios.
Cómo proteger a la organización frente a PhantomCore y phishing avanzado
1. Refuerzo de la seguridad del correo electrónico. Es esencial desplegar y configurar de forma estricta SPF, DKIM y DMARC, así como utilizar pasarelas de correo seguras capaces de analizar adjuntos y URLs en profundidad. Las soluciones de sandboxing que detonanen archivos comprimidos, LNK y documentos ofimáticos en entornos aislados aumentan significativamente la capacidad de detección temprana.
2. Control y supervisión exhaustiva de PowerShell. Se recomienda habilitar Script Block Logging, bloquear o restringir la ejecución de scripts no firmados, aplicar AppLocker o Windows Defender Application Control y monitorizar patrones anómalos de uso de PowerShell, especialmente invocaciones que descargan contenido desde Internet o se ejecutan fuera de los flujos habituales de administración.
3. Monitorización del Programador de tareas. Un inventario y auditoría periódica de nuevas y modificadas tareas programadas, integrado con un SIEM, ayuda a detectar mecanismos de persistencia como los usados por PhantomCore. Vincular cada tarea con el proceso y el usuario que la creó es clave para acelerar las investigaciones.
4. Formación continua frente al phishing dirigido. La concienciación debe centrarse en correos relacionados con “aprobación de documentos”, “contratos”, “facturas” o “condiciones técnicas”. Las simulaciones periódicas de phishing y un procedimiento claro para reportar mensajería sospechosa permiten reducir significativamente el riesgo, tal y como confirman informes anuales de incidentes de la industria.
Ante cualquier actividad anómala, es recomendable cotejar registros de DNS, proxy y correo con los dominios y remitentes mencionados, revisar las tareas del Programador de Windows y analizar el uso de PowerShell en los equipos críticos. Adoptar un enfoque de defensa en profundidad, apoyado en telemetría, automatización y capacitación constante, es la mejor estrategia para mitigar campañas de ciberespionaje como PhantomCore y fortalecer la resiliencia global de la organización.
