El 8 de octubre de 2025, los investigadores de ciberseguridad descubrieron una sofisticada campaña de phishing dirigida a varias organizaciones vinculadas a los esfuerzos de reconstrucción y ayuda a la guerra de Ucrania. La campaña, identificada con el nombre de PhantomCaptcha, estaba dirigida a organizaciones de ayuda, incluida la oficina ucraniana del Fondo de las Naciones Unidas para la Infancia (UNICEF), el Consejo Noruego para los Refugiados, el Registro de Daños del Consejo de Europa para Ucrania y las administraciones gubernamentales regionales de Donetsk, Dnipropetrovsk, Poltava y Mykolaiv.
Los investigadores informaron que los atacantes aprovecharon los mensajes de SentinelOne reclutamiento falsos y falsificaron las comunicaciones oficiales, con archivos PDF con trampas explosivas y enlaces falsos que llevaron a las víctimas a troyanos maliciosos de acceso remoto (RAT). La campaña combina ingeniería social y malware avanzado de una manera particularmente específica.
La campaña utilizó principalmente correos electrónicos bien elaborados que parecían provenir de la oficina del presidente de Ucrania, entre otras fuentes autorizadas. Los correos electrónicos adjuntaron documentos PDF con un enlace incrustado. Cuando se hacía clic en el enlace, redirigía a la víctima a una página falsa de “captcha” (zoomconference.app) que se hacía pasar por una plataforma de videoconferencia legítima. Esa página luego activó una conexión WebSocket a un servidor remoto e instaló un comando de PowerShell que condujo a la instalación de malware.
Una vez que la víctima ejecutó el comando de PowerShell, el descargador de la primera etapa recuperó una carga útil secundaria de un servidor remoto. Esa carga útil resultó ser un RAT especializado basado en WebSocket, instalado en una infraestructura controlada por atacantes. Este malware le dio al actor de amenazas un control remoto total, lo que permitió el robo de archivos, el monitoreo y una mayor implementación de la carga útil.
Curiosamente, el dominio falso detrás del señuelo de videoconferencia solo estuvo activo durante un día antes de desaparecer, en contraste con varios meses de trabajo de preparación, incluidos los registros de dominio en marzo de 2025. Eso sugiere una alta seguridad operativa y una planificación a largo plazo por parte de los atacantes.
Los grupos de ayuda se convirtieron en objetivos
Estas no son solo víctimas aleatorias. Las partes objetivo son organizaciones que operan o apoyan regiones de Ucrania afectadas por la guerra con una exposición internacional significativa, flujos financieros y datos de donantes. El acceso a sus redes podría proporcionar a los atacantes inteligencia valiosa o aprovechar nuevas intrusiones.
Los investigadores de amenazas señalaron que al violar un grupo de ayuda, los atacantes podrían recopilar información como listas de donantes, correspondencia gubernamental, registros financieros y datos de proyectos. Esos activos son atractivos tanto para el espionaje como para los delitos financieros. Y dado que algunos de los objetivos operan en regiones involucradas en el conflicto con Rusia, la intrusión puede servir a objetivos estratégicos más amplios más allá del simple robo.
Lo que hace que esta campaña sea única
A diferencia de las campañas de phishing masivas que rocían miles de correos electrónicos ampliamente, el ataque PhantomCaptcha parece muy específico y personalizado. El registro inicial del dominio se produjo alrededor del 27 de marzo de 2025, lo que sugiere meses de reconocimiento antes de la huelga real. La infraestructura del atacante también incluía “princess-mens.click”, un dominio utilizado para entregar aplicaciones de colección de Android capaces de recopilar geolocalización, contactos, registros de llamadas, medios y aplicaciones instaladas de las víctimas.
El uso de las principales tecnologías web, como WebSockets para el RAT, páginas de intercepción de aspecto legítimo y cadenas de PowerShell sin credenciales, muestra que los atacantes se sentían cómodos mezclando ingeniería social, secuencias de comandos ligeras y sigilo. La combinación de enlaces falsos de Zoom y páginas CAPTCHA creó una sensación de urgencia y legitimidad, dos ingredientes clave para el éxito del phishing.
Lo que las organizaciones deben hacer ahora
Para las organizaciones de ayuda, las organizaciones sin fines de lucro y cualquier entidad que opere en zonas de conflicto o de socorro, este ataque ofrece varias lecciones:
- Verifique cuidadosamente los correos electrónicos de reclutamiento de empleo, especialmente cuando se originan en dominios desconocidos o incluyen archivos adjuntos.
- Nunca habilite macros, permita la ejecución de scripts ni haga clic en enlaces de documentos recibidos inesperadamente, incluso de contactos de confianza.
- Supervise los registros de dispositivos, las configuraciones de aplicaciones de autenticación y las conexiones WebSocket a escala para detectar señales entrantes inusuales.
- Trate las plataformas de videoconferencia y los sistemas de donación como posibles vectores de ataque, no solo como herramientas de comunicación interna.
- Realice auditorías periódicas de los dispositivos, los registros de proxy y la actividad de los endpoints en busca de signos de intrusión asimétrica: recuerde que los atacantes pueden aparecer como usuarios legítimos.
Cuando hay mucho en juego, la ciberseguridad debe avanzar en consecuencia. Los atacantes ya no solo buscan ganancias financieras. Se están infiltrando en las organizaciones combinando ingeniería social uno a uno y malware personalizado. Eso requiere que los defensores pasen de tácticas de “prevención masiva” a estrategias de “respuesta personalizada”.
La campaña PhantomCaptcha demuestra que incluso las instituciones de confianza que trabajan en funciones humanitarias siguen corriendo el riesgo de sufrir ataques complejos. La dependencia de plataformas de apariencia legítima como Zoom y las verificaciones CAPTCHA falsas en la nube muestra cómo la infraestructura que las personas asumen que es segura puede volverse en su contra. Defender en este entorno se trata de verificación constante, no de suposición.