Netcrook Logo
👤 VULNCRUSADER
🗓️ 17 Oct 2025   🌍 North America

Agentes Judiciales Fantasma: El DarkWatchman de Hive0117 Regresa en una Oleada de Correos Electrónicos Sigilosos

Un escurridizo grupo de ciberdelincuentes reactiva sus operaciones, apuntando a empresas rusas y kazajas con astutas trampas por correo electrónico y un espía digital sigiloso.

Datos Rápidos

  • Hive0117, activo desde 2022, resurge con una nueva oleada de correos electrónicos maliciosos.
  • El grupo utiliza el troyano DarkWatchman, una herramienta de acceso remoto (RAT) sigilosa.
  • Los atacantes se hacen pasar por agencias oficiales, incluyendo el Servicio Federal de Agentes Judiciales y el Ministerio de Defensa.
  • Al menos 51 organizaciones en Rusia y Kazajistán fueron atacadas en septiembre de 2025.
  • Los objetivos abarcan banca, telecomunicaciones, logística, comercio minorista, energía, investigación y más.

El Regreso de un Fantasma Digital

Imagina abrir tu bandeja de entrada y encontrar un mensaje de una agencia gubernamental: una citación, una notificación legal, una advertencia de un agente judicial. Para decenas de organizaciones en Rusia y Kazajistán este septiembre, estos correos de apariencia oficial eran lobos con piel de cordero. Detrás del telón: Hive0117, un grupo cibercriminal que había caído en silencio y ahora regresaba con sed de venganza.

Surgido por primera vez a principios de 2022, Hive0117 se hizo un hueco en el inframundo criminal con su arma predilecta: DarkWatchman, un troyano de acceso remoto (RAT) tan escurridizo como su nombre sugiere. Como un ladrón digital con una ganzúa maestra, DarkWatchman se desliza entre las defensas, otorgando a los atacantes un control silencioso sobre los ordenadores infectados. Tras meses de inactividad, la firma de ciberseguridad F6 detectó un nuevo brote vinculado a Hive0117 el 24 de septiembre de 2025, señalando el renovado apetito del grupo por la disrupción.

Anatomía de un Engaño

La última campaña de Hive0117 se basó en el engaño. Los correos parecían provenir del Servicio Federal de Agentes Judiciales de Rusia, usando direcciones como mail@fssp[.]buzz - dominios creados para imitar a los reales. Algunos mensajes se hacían pasar por archivos del Ministerio de Defensa o falsas citaciones judiciales, engañando a los destinatarios para que abrieran archivos adjuntos o enlaces. Estos adjuntos liberaban DarkWatchman, un RAT liviano pero potente, diseñado para evitar la detección y mantener el acceso a largo plazo.

La infraestructura del grupo es un mosaico de dominios desechables - 4ad74aab[.]cfd y 4ad74aab[.]xyz entre ellos - creados y a veces reutilizados para evadir listas negras. Este enfoque camaleónico es una característica del cibercrimen moderno, dificultando a los defensores identificar la amenaza.

Impacto Más Allá: Mercados y Motivos

La amplitud de los objetivos de Hive0117 es llamativa: bancos, gigantes de las telecomunicaciones, concesionarios de automóviles, empresas de logística, aseguradoras y compañías de inversión, incluso laboratorios de investigación y un parque tecnológico. La diversidad sugiere un enfoque en la disrupción y el robo de datos, más que en un solo sector o motivo. En el contexto de las tensiones y la inestabilidad económica en la región, estos ataques pueden tener efectos dominó - sacudiendo la confianza, drenando recursos y exponiendo datos sensibles.

Campañas similares han barrido Europa del Este en los últimos años, con grupos como TA505 y Evil Corp también favoreciendo el malware distribuido por correo y los cebos de apariencia oficial. Según un informe de Group-IB de 2024, el phishing dirigido sigue siendo una de las tácticas más persistentes y efectivas para el cibercrimen organizado, especialmente cuando se combina con malware personalizado como DarkWatchman.

Por ahora, la mascarada digital de Hive0117 es un recordatorio: en la bandeja de entrada, las apariencias pueden ser peligrosamente engañosas.

A medida que los ciberdelincuentes se vuelven cada vez más creativos en sus suplantaciones, la vigilancia es la última línea de defensa. Cuando un correo afirma ser oficial, verifica dos veces antes de hacer clic - porque el próximo agente judicial fantasma podría ser un ladrón digital en tu puerta.

WIKICROOK

  • Troyano de Acceso Remoto (RAT): Un Troyano de Acceso Remoto (RAT) es un malware que permite a los atacantes controlar en secreto el ordenador de una víctima desde cualquier lugar, facilitando el robo y el espionaje.
  • Phishing: El phishing es un delito informático en el que los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Suplantación de Dominio: La suplantación de dominio ocurre cuando los atacantes crean sitios web o correos electrónicos falsos que se parecen mucho a los reales para engañar a los usuarios y robar información sensible.
  • Carga Útil: Una carga útil es la parte dañina de un ciberataque, como un virus o spyware, entregada a través de correos o archivos maliciosos cuando la víctima interactúa con ellos.
  • Infraestructura: La infraestructura comprende los sistemas físicos y organizativos - como servidores, cableado y refrigeración - esenciales para operaciones digitales seguras y fiables.
VULNCRUSADER VULNCRUSADER
Advanced Vulnerability Hunter
← Back to news