Netcrook Logo
👤 CRYSTALPROXY
🗓️ 20 Dec 2025   🌍 Europe

Tras las Líneas Enemigas: El Asalto Sigiloso de BlueDelta en el Frente Digital de Ucrania

Subtítulo: Hackers estatales rusos desatan una oleada de astutos ataques de phishing contra usuarios de UKR.NET, explotando avanzadas herramientas proxy y portales de inicio de sesión falsos para robar credenciales en la ciber-guerra en curso.

En los oscuros pasillos de la ciber-guerra, hackers respaldados por el Estado ruso libran una campaña implacable contra Ucrania - no en el campo de batalla, sino dentro de las bandejas de entrada. BlueDelta, un notorio grupo de hackers alineado con la inteligencia militar rusa, ha lanzado un sofisticado asalto dirigido a los usuarios de UKR.NET, el servicio de correo web y noticias más popular de Ucrania. ¿Su arma predilecta? Páginas de inicio de sesión engañosamente simples, hábilmente disfrazadas y entregadas a través de un laberinto de proxies digitales y PDFs maliciosos. Mientras la guerra arde en tierra, un conflicto paralelo por las identidades digitales se desarrolla, amenazando con socavar la seguridad tanto de ciudadanos como de instituciones ucranianas.

Según los analistas de amenazas del Insikt Group de Recorded Future, la última campaña de BlueDelta marca una escalada escalofriante en las operaciones cibernéticas patrocinadas por el Estado. El grupo, largamente asociado con la GRU rusa, ha adaptado sus tácticas en respuesta a las intervenciones de las fuerzas del orden occidentales a principios de 2024. Ya no dependen de routers comprometidos; ahora BlueDelta despliega avanzadas herramientas de túneles proxy como ngrok y Serveo, ocultando su ubicación real tras capas de infraestructura web gratuita que hacen que la detección y atribución sean tareas desalentadoras.

La sofisticación técnica de la operación es impactante. Los investigadores identificaron más de 42 “cadenas” de phishing distintas que explotan servicios gratuitos como DNS EXIT, Byet Internet Services y ngrok, junto a plataformas API como Mocky para alojar convincentes páginas falsas de inicio de sesión de UKR.NET. Las víctimas eran atraídas con PDFs que se hacían pasar por alertas de seguridad, instruyéndolas a “restablecer” sus contraseñas mediante enlaces incrustados. Una vez pulsados, estos portales recolectaban nombres de usuario, contraseñas e incluso códigos de autenticación de dos factores - accesos críticos para una intrusión más profunda.

Para evitar activar las advertencias de seguridad del navegador, BlueDelta incrustó código personalizado que deshabilitaba las alertas de ngrok, cegando aún más a los usuarios ante el peligro. Dominios de typosquatting - como ukrinet[.]com y ukrainnet[.]com - sirvieron como infraestructura de respaldo, asegurando la continuidad de la campaña incluso si los nodos principales eran expuestos. La infraestructura del grupo se volvió cada vez más estratificada, con nuevos servidores identificados en Francia y Canadá encargados de la exfiltración y el relevo de datos, todo mientras mantenían acceso SSH para un control persistente.

La intención estratégica es clara: recolectar credenciales ucranianas para alimentar la obtención de inteligencia que respalda los objetivos militares de Rusia. Los objetivos incluyen no solo ciudadanos comunes, sino también oficinas gubernamentales, contratistas de defensa y centros de pensamiento político. Expertos en seguridad advierten que este enfoque de bajo costo y alto impacto probablemente continuará, explotando el eslabón más débil - la confianza humana - mientras esquiva las defensas técnicas.

A medida que BlueDelta y sus semejantes perfeccionan sus métodos, las organizaciones ucranianas enfrentan una elección tajante: adaptarse o caer presa. La autenticación multifactor, la negación vigilante de servicios web innecesarios y una concienciación de seguridad constante son ahora escudos esenciales. En la niebla de la guerra digital, solo la vigilancia permanente puede frenar la mano invisible que busca los secretos de Ucrania.

WIKICROOK

  • Robo de Credenciales: El robo de credenciales es la sustracción de datos de acceso, como nombres de usuario y contraseñas, a menudo mediante sitios web falsos o correos electrónicos engañosos.
  • Túneles Proxy: El túnel proxy enruta el tráfico a través de un servidor proxy para ocultar su origen, ayudando a evadir restricciones pero potencialmente habilitando actividades maliciosas.
  • Dominios de Typosquatting: Los dominios de typosquatting son sitios web falsos con URLs mal escritas, diseñados para engañar a los usuarios y hacer que ingresen información sensible o credenciales con fines maliciosos.
  • Phishing: El phishing es un delito cibernético donde los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
BlueDelta Cyberwar Phishing
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news