Analistas de «Laboratorio Kaspersky» han documentado una nueva campaña de ciberespionaje atribuida al grupo pro-ucraniano Head Mare, dirigida contra organismos estatales rusos y empresas de los sectores de construcción e industria. El principal elemento novedoso del arsenal es PhantomHeart, un backdoor totalmente reescrito en PowerShell que sustituye a una versión previa basada en DLL, y que consolida el giro de la agrupación hacia tácticas Living-off-the-Land (LOTL).
Head Mare y el uso de PowerShell en ataques Living-off-the-Land
El cambio de binarios compilados a scripts PowerShell refleja una estrategia clara: maximizar el uso de componentes legítimos de Windows para reducir la huella maliciosa. En un enfoque Living-off-the-Land, los atacantes se apoyan en herramientas ya presentes en el sistema (PowerShell, ssh.exe, planificador de tareas, utilidades administrativas) en lugar de introducir ejecutables propios fácilmente detectables.
Este modelo dificulta de forma significativa la detección. La actividad maliciosa se confunde con operaciones administrativas normales, las firmas clásicas pierden eficacia y los controles basados únicamente en antivirus tradicionales resultan insuficientes. El movimiento de Head Mare hacia LOTL se alinea con la tendencia observada en numerosas operaciones de ciberespionaje avanzadas, donde PowerShell se ha convertido en uno de los vectores más explotados para el control remoto sigiloso.
Acceso inicial: vulnerabilidad en TrueConf Server y campañas de phishing
En la fase de entrada, Head Mare mantiene tácticas ya observadas en campañas anteriores. Los analistas señalan el uso continuado de la vulnerabilidad BDU:2025-10114 en TrueConf Server, que permite comprometer de forma remota servidores de videoconferencia que no han sido actualizados. La explotación de este tipo de fallos en software expuesto a Internet sigue siendo una de las causas principales de intrusiones graves.
Paralelamente, el grupo recurre a phishing dirigido mediante correos electrónicos con adjuntos maliciosos o enlaces a recursos controlados por los atacantes. La combinación de una vulnerabilidad conocida pero aún sin parchear en muchas organizaciones con técnicas de ingeniería social otorga a Head Mare flexibilidad para elegir el vector más adecuado en cada objetivo, aumentando la tasa de éxito de la intrusión.
PhantomHeart: backdoor PowerShell con túnel SSH y reconocimiento del entorno
Una vez logrado el acceso inicial, el foco pasa al backdoor PowerShell PhantomHeart, pieza central de la fase de post-explotación. Su funcionalidad principal es el despliegue, bajo órdenes del servidor de mando y control (C2), de un túnel SSH inverso que facilita un acceso remoto persistente y relativamente discreto a los sistemas comprometidos.
Además, PhantomHeart ejecuta tareas de reconocimiento básico, recopilando información como el nombre del equipo, el dominio, la dirección IP externa y un identificador único de la víctima. Estos datos permiten a los operadores priorizar objetivos, gestionar su infraestructura C2 y planificar acciones posteriores (movimiento lateral, exfiltración de información, etc.).
Persistencia mediante el Programador de tareas y suplantación de LiteManager
El mecanismo de persistencia de PhantomHeart destaca por su capacidad de camuflaje. En incidentes analizados, el script se ejecutaba a través del Programador de tareas de Windows, haciéndose pasar por un supuesto script de actualización de la herramienta legítima de administración remota LiteManager.
El código malicioso se alojaba en el propio directorio de LiteManager e imitaba su actividad habitual, reduciendo la probabilidad de que un administrador lo identificara como anómalo durante una revisión rápida. Esta suplantación de software confiable es una técnica extendida en ataques dirigidos y subraya la importancia de monitorizar cambios en tareas programadas y en las rutas de herramientas de administración.
PhantomProxyLite, MicroSocks y automatización de la post-explotación
Otro componente clave, PhantomProxyLite, ha sido igualmente migrado a PowerShell. Anteriormente se desplegaba como un servicio binario con el nombre engañoso SSHService; ahora la misma lógica se implementa en forma de script, lo que facilita su modificación, ofuscación y distribución en entornos diversos.
La persistencia de PhantomProxyLite se implementa de nuevo a través del Programador de tareas de Windows, con una tarea llamada SSHService que se ejecuta con privilegios SYSTEM al inicio del sistema. El script reutiliza una clave de registro para almacenar la configuración de puertos, genera un archivo temporal con los parámetros del túnel en C:\Windows\Temp y lanza ssh.exe para establecer el túnel SSH inverso hacia la infraestructura de los atacantes.
Para estandarizar este proceso, Head Mare utiliza el script auxiliar Create-SSHServiceTask.ps1, que crea o reconfigura automáticamente la tarea programada necesaria, eliminando cualquier tarea previa con el mismo nombre. Este enfoque reduce el esfuerzo manual y permite escalar el despliegue del backdoor a numerosos hosts dentro de la misma red comprometida.
El conjunto de herramientas se completa con utilidades como MicroSocks, un proxy SOCKS5 de código abierto disponible en GitHub. El uso de herramientas abiertas y genéricas disminuye el coste de desarrollo propio y complica la atribución, ya que las mismas piezas pueden aparecer en ambientes legítimos y en operaciones de distintos actores.
Ante esta evolución hacia backdoors en PowerShell, técnicas LOTL y fuerte automatización, las organizaciones —especialmente de los sectores público, industrial y de construcción— deben reforzar el control del uso de PowerShell y de las herramientas administrativas integradas. Es recomendable aplicar de forma sistemática parches para vulnerabilidades conocidas como BDU:2025-10114 en TrueConf Server, revisar periódicamente el Programador de tareas y los directorios de software de administración remota, desplegar soluciones EDR modernas, centralizar y correlacionar registros (logs) y formar al personal de TI y seguridad en la detección de actividad LOTL. Estas medidas incrementan de manera sustancial la probabilidad de identificar campañas similares en sus fases iniciales y limitar el impacto de futuros ataques dirigidos.
