BarrelFire enciende la mecha: el asalto cibernético de Noisy Bear contra el gigante energético de Kazajistán

Datos clave

• Noisy Bear, un presunto actor de amenazas ruso, apuntó a empleados de KazMunaiGas con una sofisticada campaña de phishing denominada Operación BarrelFire (Seqrite Labs, 2025).
• Los atacantes utilizaron documentos internos falsos y correos electrónicos comprometidos del departamento financiero para infiltrarse en la empresa energética kazaja.
• La cadena de infección descargó archivos maliciosos, abriendo una puerta trasera para el acceso remoto y el robo de datos a través de un hosting a prueba de denuncias con base en Rusia.
• Campañas paralelas de grupos alineados con Bielorrusia y otros de Europa del Este muestran tácticas cambiantes en los ciberataques regionales (HarfangLab, 2025).
• Las organizaciones rusas también están bajo ataque tanto de hackers nacionales como extranjeros, con malware dirigido a datos sensibles e incluso haciéndose pasar por aplicaciones oficiales de seguridad.

El complot BarrelFire: un caballo de Troya digital

Imagina esto: una mañana rutinaria en las oficinas financieras de KazMunaiGas, el gigante petrolero estatal de Kazajistán. Llega un nuevo correo, aparentemente de un colega de confianza, con un archivo ZIP adjunto - solo otro día más en la comunicación corporativa. Pero dentro se esconde el equivalente digital de un caballo de Troya, desatando el caos en silencio.

Según Seqrite Labs, este es el trabajo de un nuevo grupo de hackers llamado Noisy Bear, activo al menos desde abril de 2025. Su campaña, Operación BarrelFire, imitaba hábilmente memorandos oficiales sobre actualizaciones de políticas y cambios salariales. Los correos de phishing, enviados desde una cuenta comprometida del departamento financiero de KazMunaiGas, atraían a los empleados a abrir un archivo ZIP. Dentro: un archivo de acceso directo (LNK), un documento señuelo y un README en ruso y kazajo, todos incitando a la víctima a ejecutar un programa “visor” manipulado.

La carga técnica es una muñeca rusa de malicia cibernética. Primero se ejecuta un script por lotes, luego un cargador PowerShell llamado DOWNSHELL, que finalmente descarga un implante personalizado - una DLL de 64 bits capaz de ejecutar comandos remotos. Esto otorga a los hackers un túnel oculto directo al corazón digital de la empresa.

Escaramuzas cibernéticas en la estepa

La infraestructura detrás de BarrelFire se remonta a Aeza Group, un proveedor ruso de hosting a prueba de denuncias sancionado recientemente por EE. UU. por facilitar el cibercrimen. Este detalle, junto con las instrucciones en ruso de la campaña, apunta al sombrío ecosistema cibernético de Moscú. Pero Kazajistán no es el único en la mira. HarfangLab, una firma francesa de ciberseguridad, vinculó recientemente al grupo Ghostwriter alineado con Bielorrusia (también conocido como FrostyNeighbor) con ataques a Ucrania y Polonia usando archivos ZIP repletos de malware similares.

Estas campañas muestran una tendencia: los atacantes ajustan constantemente sus métodos - usando macros de Excel, archivos CAB de Microsoft e incluso Slack como canal secreto de comunicación - para evadir las defensas. En algunos casos, se despliega el infame Cobalt Strike Beacon, favorito de los cibercriminales avanzados, para una explotación más profunda.

Reacción: Rusia bajo asedio

Irónicamente, las empresas rusas también sufren una oleada de ciberataques. Kaspersky informa que OldGremlin, un notorio grupo de extorsión, ha utilizado la técnica de “trae tu propio controlador vulnerable” para desactivar la seguridad en redes rusas. Mientras tanto, un nuevo malware llamado Phantom Stealer roba datos sensibles - e incluso toma capturas de la webcam cuando los usuarios visitan sitios para adultos, una táctica perfecta para el chantaje.

Sumando al caos, malware para Android disfrazado de aplicaciones oficiales del FSB o del Banco Central está apuntando a representantes empresariales rusos, extrayendo desde mensajes hasta pulsaciones de teclado, todo bajo la apariencia de seguridad nacional.

Geopolítica en el teclado

La campaña BarrelFire es más que otro ataque de phishing; es una señal del aumento de hostilidades digitales en el corredor energético euroasiático. Con Kazajistán y Rusia bajo asedio, las líneas del frente cibernético se difuminan y las apuestas - control de infraestructuras críticas, flujos energéticos y datos sensibles - nunca han sido tan altas. A medida que los atacantes se adaptan e innovan, los defensores deben permanecer vigilantes, sabiendo que el próximo correo podría encender otro BarrelFire.

WIKICROOK

• Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y que revelen datos sensibles o hagan clic en enlaces maliciosos.
• Bulletproof Hosting: El hosting a prueba de denuncias es un servicio de alojamiento web que ignora los reportes de abuso, permitiendo a los criminales alojar contenido ilegal o malicioso con bajo riesgo de ser eliminado.
• DLL: Una DLL (Biblioteca de Enlace Dinámico) es un archivo que contiene código compartido para programas de Windows. Los atacantes pueden ocultar malware en DLLs para obtener acceso remoto a sistemas.
• PowerShell Loader: Un PowerShell Loader es un script que utiliza Windows PowerShell para descargar y ejecutar malware en secreto en el sistema de la víctima, evadiendo la detección.
• Bring Your Own Vulnerable Driver (BYOVD): BYOVD es cuando los atacantes instalan un controlador legítimo pero vulnerable para eludir protecciones de seguridad u obtener mayor acceso a un sistema informático.