Investigadores de ciberseguridad han identificado una nueva ola de ataques dirigidos a organizaciones ucranianas que parecen estar vinculadas al colectivo de piratas informáticos respaldado por Rusia conocido como Sandworm. Según los hallazgos de Symantec y VMware Carbon Black, los atacantes se infiltraron tanto en un gran proveedor de servicios comerciales como en una agencia gubernamental local, manteniendo el acceso durante días o incluso meses mientras recopilaban datos confidenciales.
Los investigadores revelaron que el primer ataque involucró a una empresa de servicios comerciales donde los actores de amenazas permanecieron sin ser detectados durante más de dos meses. Se cree que han logrado ingresar explotando vulnerabilidades en servidores públicos e instalando shells web para establecer un acceso persistente. Una vez dentro, dependían en gran medida de las herramientas administrativas integradas, un método que permite a los atacantes moverse a través de las redes sin dejar rastros obvios de malware.
Uno de los proyectiles de telaraña descubiertos, conocido como LocalOlive, se ha asociado con operaciones anteriores atribuidas a Sandworm. Si bien los investigadores aún no han confirmado la participación directa del grupo, la superposición en tácticas y conjuntos de herramientas sugiere fuertemente un vínculo. Sandworm, también conocido como APT44, es ampliamente considerado como una de las unidades cibernéticas rusas más peligrosas y ha estado vinculado a algunas de las operaciones más disruptivas en la historia reciente de Ucrania.
En el segundo incidente, los atacantes comprometieron una agencia del gobierno local durante aproximadamente una semana. Aunque la intrusión fue más corta, las técnicas utilizadas fueron casi idénticas, lo que sugiere que el mismo actor o un grupo afiliado fue el responsable. La campaña se centró en la exfiltración de archivos y la recopilación de datos del sistema que podrían respaldar operaciones posteriores. No se encontraron signos de cifrado de datos o malware destructivo, lo que indica que el motivo principal fue el espionaje en lugar del sabotaje.
El momento y la precisión de estos ataques son notables porque se producen en medio de tensiones geopolíticas en curso y una mayor actividad cibernética en Europa del Este. Ucrania sigue siendo una de las naciones más atacadas del mundo, y muchas de sus instituciones públicas y privadas se enfrentan a continuos ataques digitales. Sandworm, que opera bajo la agencia de inteligencia militar rusa GRU, ha sido responsable de varios ataques importantes en el pasado, incluidas interrupciones de la red eléctrica, interferencias satelitales e incidentes de borrado de datos a gran escala.
A diferencia de esos ataques anteriores, las campañas recientes muestran un enfoque más discreto y paciente. En lugar de implementar malware que interrumpe inmediatamente las operaciones, los atacantes utilizaron métodos diseñados para permanecer invisibles durante períodos prolongados. Este enfoque, conocido como vivir de la tierra, implica el uso de herramientas legítimas del sistema para realizar actividades maliciosas. Al mezclarse con el comportamiento administrativo normal, los atacantes pueden moverse a través de los sistemas, escalar privilegios y filtrar datos sin activar alertas de seguridad estándar.
Esta evolución en la estrategia destaca un cambio en las prioridades operativas de Sandworm. Mientras que las campañas anteriores buscaban causar daños inmediatos y visibles, las operaciones actuales sugieren un enfoque en la recopilación de inteligencia y el acceso a largo plazo. Al recopilar credenciales y documentos internos, los atacantes pueden prepararse para futuras operaciones o explotar la información para otros fines estratégicos.
Los expertos en seguridad advierten que las implicaciones de estos hallazgos van más allá de las víctimas inmediatas. El uso de técnicas sigilosas y persistentes significa que las organizaciones pueden ni siquiera darse cuenta de que se han visto comprometidas hasta mucho después de que comience la intrusión. Debido a que los atacantes explotan las herramientas ya presentes en un sistema, el software antivirus tradicional a menudo no las detecta. Por esta razón, los analistas recomiendan un monitoreo constante de la actividad de la red y métodos de detección basados en el comportamiento que puedan identificar patrones inusuales.
Las autoridades ucranianas de ciberseguridad no han emitido una declaración oficial sobre los incidentes, pero el informe subraya el riesgo continuo tanto para las instituciones públicas como para las empresas privadas que operan en el país. La elección de los objetivos por parte de los atacantes, los proveedores de servicios empresariales y las oficinas del gobierno local, sugiere un interés más amplio en obtener acceso a sistemas administrativos que luego podrían respaldar operaciones coordinadas más grandes.
La presencia del shell web LocalOlive y la consistencia de las tácticas utilizadas en ambos ataques han llevado a los investigadores a creer que estas intrusiones son parte de una campaña continua en lugar de eventos aislados. La larga historia de actividad de Sandworm en Ucrania agrega peso a esta teoría. El grupo ha sido vinculado a los ataques a la red eléctrica de 2015 y 2016 que dejaron a cientos de miles de ucranianos sin electricidad, así como al brote de NotPetya de 2017 que causó miles de millones de dólares en daños globales.
La diferencia ahora radica en la forma en que operan los atacantes. Al evitar ataques de alto perfil que llaman la atención, aumentan sus posibilidades de mantener el acceso a redes valiosas. Este enfoque sigiloso les permite observar, recopilar y prepararse para posibles operaciones futuras sin represalias o exposición inmediatas.
Los investigadores creen que estas campañas pueden tener un doble propósito. Proporcionan inteligencia que puede informar la planificación militar y estratégica de Rusia, al tiempo que crean una base para posibles ataques disruptivos si las condiciones geopolíticas se intensifican. La combinación de espionaje y guerra cibernética no es nueva, pero los métodos en evolución de Sandworm muestran que continúa refinando sus capacidades con cada operación.
La defensa contra este tipo de amenazas requiere no solo fuertes medidas técnicas, sino también una vigilancia constante y cooperación entre organizaciones. Los expertos instan a las instituciones ucranianas y a sus socios a revisar los controles de acceso, asegurarse de que el software esté actualizado y adoptar sistemas de detección proactivos que puedan detectar los signos sutiles de actividad no autorizada. La capacidad de identificar el comportamiento anormal del sistema, en lugar de solo las firmas de malware conocidas, es ahora una de las defensas más importantes contra las amenazas persistentes avanzadas.
El informe concluye que estos incidentes representan otro capítulo en el conflicto cibernético en curso que rodea a Ucrania. También sirven como un recordatorio de que la guerra cibernética no siempre implica ataques abiertos o interrupciones dramáticas. A veces toma la forma de una infiltración silenciosa y una recopilación lenta de datos, diseñada para proporcionar una ventaja estratégica a largo plazo en lugar de un impacto inmediato.
La naturaleza evolutiva de la actividad de Sandworm demuestra que el grupo permanece activo, adaptable y profundamente arraigado en el contexto más amplio de las operaciones cibernéticas patrocinadas por el estado. Para Ucrania y sus aliados, esto significa que la defensa contra futuros ataques requerirá una mejora continua en las capacidades de detección y un enfoque implacable en la preparación para la ciberseguridad.