Seguir 
Desde enero de 2026, CERT-UA ha estado rastreando una serie de intrusiones atribuidas a UAC-0252 y construidas alrededor de los infostealers SHADOWSNIFF y SALATSTEALER. Las campañas se basan en ciberanzuelos de phishing bien elaborados, la puesta en escena de la carga útil en infraestructura legítima y la ejecución impulsada por el usuario de archivos EXE disfrazados.
Detectar ataques UAC-0252 cubiertos en CERT-UA#20032
Según la Phishing Trends Q2 2025 investigación de Check Point, el phishing sigue siendo una herramienta central para los ciberdelincuentes, y la suplantación de marcas de alta confianza y uso continua en aumento. En el contexto de operaciones más coordinadas y sofisticadas dirigidas a infraestructuras críticas y organizaciones gubernamentales, CISA publicó su Plan Estratégico Internacional 2025–2026 para avanzar en la reducción de riesgos globales y mejorar la resiliencia colectiva.
Regístrate en la Plataforma SOC Prime para defender proactivamente tu organización contra ataques UAC-0252. Solo presiona Explorar Detecciones a continuación y accede a un conjunto de reglas de detección relevantes, enriquecido con inteligencia artificial nativa CTI, mapeado al marco MITRE ATT&CK®, y compatible con una amplia gama de tecnologías SIEM, EDR y Data Lake.
Los expertos en seguridad también pueden usar la etiqueta “CERT-UA#20032” basada en el identificador de alerta CERT-UA pertinente para buscar directamente el conjunto de detección y rastrear cualquier cambio de contenido. Para obtener más reglas para detectar ataques relacionados con adversarios, los defensores cibernéticos pueden buscar en la biblioteca del Mercado de Detección de Amenazas usando la etiqueta «UAC-0252«.
Los usuarios de SOC Prime también pueden confiar en Uncoder AI para crear detecciones a partir de informes de amenazas en bruto, documentar y optimizar el código de reglas, y generar Flujos de Ataque con un par de clics. Al aprovechar la inteligencia de amenazas de la última alerta CERT-UA, los equipos pueden convertir fácilmente los IOCs en consultas optimizadas para el rendimiento listas para cazar en el entorno SIEM o EDR elegido.
Análisis de ataques UAC-0252 usando SHADOWSNIFF y SALATSTEALER
Desde enero de 2026, CERT-UA ha estado rastreando campañas de phishing repetidas que apuntan a entidades en Ucrania. Los mensajes de correo electrónico están diseñados para hacerse pasar por organismos gubernamentales centrales o administraciones regionales y generalmente instan a los destinatarios a actualizar aplicaciones móviles utilizadas en sistemas civiles y militares ampliamente desplegados.
alerta CERT-UA#20032 describe dos rutas de entrega comunes. En la primera, el correo electrónico incluye un archivo adjunto que contiene un archivo EXE. El atacante confía en que el destinatario abra el archivo y ejecute el ejecutable. En la segunda, el correo electrónico contiene un enlace a un sitio web legítimo que es vulnerable a scripting entre sitios (XSS). Cuando la víctima visita la página, el JavaScript inyectado se ejecuta en el navegador y descarga un archivo ejecutable en la computadora. En ambos escenarios, CERT-UA señala que los archivos EXE y los scripts están alojados en el servicio legítimo de GitHub, lo que ayuda a que la actividad se mezcle con el tráfico web normal y hace que el bloqueo básico de dominios sea menos efectivo en muchos entornos.
Durante enero y febrero de 2026, CERT-UA confirmó que la actividad utilizó varias herramientas maliciosas, incluidas SHADOWSNIFF, SALATSTEALER y DEAFTICK.
Se informó que SHADOWSNIFF estaba alojado en GitHub, mientras que SALATSTEALER se describe comúnmente como un infostealer basado en Go que apunta a credenciales del navegador, roba sesiones activas y recopila datos relacionados con criptomonedas, operando bajo un modelo Malware-as-a-Service (MaaS). En el mismo conjunto de herramientas, CERT-UA también informó sobre DEAFTICK, un backdoor primitivo escrito en Go que probablemente ayuda a los atacantes a mantener acceso básico en hosts comprometidos y responde a acciones posteriores.
Durante el análisis del repositorio, CERT-UA reporta haber descubierto un programa con características de un encriptador de ransomware, denominado internamente «AVANGARD ULTIMATE v6.0». El mismo ecosistema de GitHub también contenía un archivo con un exploit para WinRAR (CVE-2025-8088), un problema de recorrido de ruta en Windows WinRAR que puede habilitar la ejecución de código arbitrario a través de archivos creados y ha sido reportado como explotado en el entorno salvaje. Esto sugiere que los operadores no solo estaban robando credenciales, sino que también experimentaban con herramientas adicionales que podrían expandir el impacto.
Basado en los detalles de la investigación y las superposiciones de herramientas, incluidos los experimentos con instrumentos disponibles públicamente, CERT-UA vincula la actividad descrita con individuos discutidos en el canal de Telegram «PalachPro», mientras continúa rastreando la campaña bajo el UAC-0252.
Contexto MITRE ATT&CK
Aprovechar MITRE ATT&CK ofrece una visión detallada de las últimas campañas de phishing UAC-0252 dirigidas a entidades ucranianas. La tabla a continuación muestra todas las reglas Sigma relevantes mapeadas a las tácticas, técnicas y sub-técnicas asociadas con ATT&CK. Tactics Techniques Sigma Rules Initial Access Phishing: Spearphishing Attachment (T1566) Execution Exploitation for Client Execution (T1203) User Execution: Malicious File (T1204.002) Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) Defense Evasion Masquerading: Masquerade Task or Service (T1036.004) Masquerading: Match Legitimate Resource Name or Location (T1036.005) Process Injection: Process Hollowing (T1055.012) Impair Defenses: Disable or Modify Tools (T1562.001) Hide Artifacts: Hidden Files and Directories (T1564.001) Hide Artifacts: File/Path Exclusions (T1564.012) Command and Control Application Layer Protocol: Web Protocols (T1071.001)
