El equipo de respuesta a incidentes de Ucrania CERT-UA ha revelado una nueva campaña de ciberataques dirigida, identificada como UAC-0247, que se centra principalmente en organismos de la administración pública y en instituciones médicas municipales, incluidas clínicas y servicios de emergencias. El objetivo de los atacantes es obtener acceso persistente, realizar reconocimiento interno y robar información sensible, entre ella datos de navegadores basados en Chromium y del mensajero WhatsApp.
Campaña UAC-0247: foco en sector público, salud y defensa
Según CERT-UA, la actividad asociada a UAC-0247 se ha observado entre marzo y abril de 2026. Aunque aún no se ha atribuido de forma concluyente la operación a un actor concreto, el patrón de ataque y la selección de objetivos apuntan a una operación de ciberespionaje centrada en el sector público y el entorno sanitario, con impacto adicional en unidades de las Fuerzas de Defensa de Ucrania.
En el caso de personal militar y de defensa, los atacantes emplean un canal de distribución distinto: archivos ZIP maliciosos enviados a través de Signal, lo que demuestra una adaptación fina de la táctica a distintos perfiles de víctimas y una planificación propia de actores avanzados (APT).
Phishing de “ayuda humanitaria” como vector inicial
La fase inicial se basa en campañas de phishing temáticas. Las víctimas reciben correos que simulan comunicaciones sobre programas de ayuda humanitaria o entregas de suministros, invitándoles a seguir un enlace para confirmar datos o registrarse como beneficiarios.
Al hacer clic, el usuario es redirigido bien a un sitio web legítimo comprometido mediante una vulnerabilidad de Cross-Site Scripting (XSS), bien a una página fraudulenta generada con herramientas de inteligencia artificial. En ambos casos, la página induce a descargar y ejecutar un archivo de acceso directo de Windows (LNK), presentado como documentación o formulario.
Cadena de infección: LNK, HTA y abuso de mshta.exe
El archivo LNK no contiene la información prometida, sino que se utiliza para lanzar de forma encubierta una aplicación HTML (HTA) a través de la utilidad legítima de Windows mshta.exe. Este tipo de abuso de herramientas de sistema —conocido como Living off the Land— dificulta la detección por soluciones de seguridad basadas en firmas.
Mientras muestra una supuesta forma o documento, el HTA descarga un binario que inyecta shellcode malicioso en un proceso legítimo, como runtimeBroker.exe. Esta técnica de inyección en procesos confiables complica el análisis forense y reduce la visibilidad en soluciones de monitorización.
CERT-UA detalla además un cargador en dos etapas: la primera introduce un formato ejecutable propietario con secciones de código y datos e importación dinámica de funciones; la fase final del malware se encuentra comprimida y cifrada, lo que entorpece el análisis estático y el uso de firmas tradicionales.
RAVENSHELL, AGINGFLY y SILENTLOOP: arsenal de la operación UAC-0247
Entre los componentes clave se encuentra una utilidad de tipo TCP reverse shell, rastreada como RAVENSHELL. Este módulo establece una conexión saliente al servidor de mando y control (C2) y permite a los operadores ejecutar comandos remotamente mediante la consola estándar de Windows cmd.exe, facilitando el control directo del sistema comprometido.
La campaña despliega también el malware AGINGFLY y el script de PowerShell SILENTLOOP. SILENTLOOP integra funciones para ejecutar órdenes, actualizar su configuración y obtener direcciones IP de C2 desde un canal de Telegram, con mecanismos de reserva adicionales para resolver la infraestructura de mando en caso de bloqueo del canal primario.
AGINGFLY, desarrollado en C#, actúa como una puerta trasera completa. Su comunicación con el C2 se realiza mediante WebSockets, lo que facilita el camuflaje del tráfico entre conexiones web legítimas. Entre sus capacidades destacan el lanzamiento de procesos arbitrarios, funciones de keylogging, exfiltración de ficheros y despliegue de nuevos módulos.
El análisis de múltiples incidentes muestra que, una vez consolidado el acceso, los atacantes llevan a cabo reconocimiento de red, movimiento lateral y robo de credenciales, con especial interés en datos almacenados en navegadores tipo Chromium y en clientes de WhatsApp. Para ello combinan herramientas públicas, scripts adaptados y explotación de configuraciones débiles en la infraestructura de las víctimas.
Ataques a fuerzas de defensa: Signal y DLL sideloading
En los ataques dirigidos a representantes de las Fuerzas de Defensa, CERT-UA ha observado el envío de ZIP maliciosos a través de Signal. En su interior se incluyen binarios y bibliotecas preparados para explotar la técnica de DLL side-loading: una aplicación legítima carga una DLL manipulada que mantiene el mismo nombre que la original, pero contiene código malicioso.
Esta estrategia permite ejecutar AGINGFLY dentro del contexto de un proceso aparentemente confiable, eludiendo algunos controles de seguridad que se basan en la reputación de las aplicaciones o en listas de confianza.
Recomendaciones de CERT-UA y buenas prácticas de defensa
CERT-UA recomienda a las organizaciones reducir la superficie de ataque restringiendo o bloqueando la ejecución de archivos LNK, HTA, JS y utilidades como mshta.exe, powershell.exe y wscript.exe, salvo en casos de uso expresamente justificados y controlados. La experiencia de múltiples informes internacionales confirma que limitar el uso de estas herramientas disminuye significativamente el éxito de campañas similares.
Asimismo, se aconseja implantar listas blancas de aplicaciones (Application Allowlisting), desplegar soluciones EDR modernas para detectar comportamientos anómalos de procesos y conexiones salientes, y segmentar la red con el fin de limitar el movimiento lateral. La formación continua del personal para identificar correos de phishing —en especial los que se presentan como iniciativas humanitarias o de colaboración institucional— es un componente crítico de la defensa.
La campaña UAC-0247 evidencia cómo la combinación de phishing, abuso de herramientas legítimas de Windows y cargadores avanzados permite a los atacantes eludir controles tradicionales y alcanzar datos críticos en administraciones públicas, hospitales y entidades de defensa. Revisar y endurecer las políticas sobre ejecución de scripts y adjuntos, reforzar la monitorización y mantenerse al día de las alertas emitidas por CERT-UA y otros CSIRT nacionales e internacionales son pasos esenciales. Invertir hoy en detección temprana, segmentación y concienciación reduce de forma directa la probabilidad de que operaciones de este tipo comprometan infraestructuras esenciales y la información de millones de ciudadanos.
