Seguir 
El phishing sigue siendo una de las herramientas más efectivas en el arsenal de los ciberdelincuentes, especialmente cuando los actores de amenazas abusan de identidades de confianza, cuentas legítimas comprometidas y servicios en línea familiares para aumentar la interacción con las víctimas. Europol señala que las técnicas de phishing siguen siendo un vector principal de distribución para el malware que roba datos, mientras que el último aviso de CERT-UA muestra que la misma lógica de ingeniería social continúa impulsando campañas dirigidas contra organizaciones del sector público ucraniano.
En su aviso del 21 de mayo de 2026, CERT-UA advirtió que UAC-0057 había actualizado su conjunto de herramientas de malware y estaba utilizando OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES en una campaña de phishing dirigida a organizaciones estatales ucranianas. El tema del señuelo se centró en obtener certificados a través de la plataforma educativa Prometheus, mientras que las tácticas generales se sobreponen a las actividades de Ghostwriter / FrostyNeighbor / UNC1151, que los investigadores de seguridad continúan asociando con operaciones de espionaje alineadas con Bielorrusia contra entidades gubernamentales ucranianas.
Informes recientes muestran que la actividad de Ghostwriter en 2026 contra Ucrania no está aislada a una sola cadena de infección. ESET documentó nuevas campañas de marzo de 2026 dirigidas a organizaciones gubernamentales ucranianas con señuelos en PDF geolocalizados que finalmente entregaron Cobalt Strike, subrayando cómo el actor sigue renovando tanto sus mecanismos de entrega como su conjunto de malware. El último aviso UAC-0057 de CERT-UA encaja en ese mismo patrón de adaptación continua, esta vez con un nuevo conjunto de herramientas con marca OYSTER distribuido a través de correos electrónicos de phishing enviados desde cuentas del mundo real comprometidas.
Regístrese en la Plataforma SOC Prime para defender proactivamente su organización contra los ataques UAC-0057. Simplemente presione Explorar Detecciones a continuación y acceda a un conjunto de reglas de detección relevante, enriquecido con CTI nativo de IA, mapeado al marco MITRE ATT&CK®, y compatible con una amplia gama de tecnologías SIEM, EDR y de Data Lake.
Los equipos de seguridad pueden buscar en la biblioteca del Mercado de Detección de Amenazas utilizando la etiqueta “UAC-0057” para identificar detecciones relevantes y rastrear actualizaciones de contenido relacionadas. Los defensores cibernéticos también pueden confiar en Uncoder AI para convertir informes de amenazas recientes en consultas optimizadas para el rendimiento, documentar y mejorar la lógica de detección, y generar Attack Flows basados en los informes más recientes de CERT-UA.
Analizando los Ataques UAC-0057 Usando OYSTERFRESH, OYSTERSHUCK, y OYSTERBLUES
Según informes que resumen el aviso de CERT-UA, la campaña ha estado activa desde la primavera de 2026 y se basa en correos electrónicos de phishing a gran escala enviados a organizaciones estatales ucranianas desde cuentas comprometidas que pertenecen a empleados reales. El tema del señuelo se plantea en torno a obtener certificados a través de la plataforma educativa Prometheus, lo que ayuda a que los correos electrónicos parezcan plausibles para los destinatarios y aumenta las probabilidades de interacción.
La cadena de infección comienza con un documento PDF que contiene un enlace activo que lleva a un archivo ZIP. Ese archivo contiene un archivo JavaScript clasificado como OYSTERFRESH. Cuando se ejecuta, el script muestra texto de señuelo inofensivo a la víctima mientras inicia discretamente el flujo de trabajo malicioso en segundo plano. A partir de ahí, OYSTERFRESH realiza dos tareas principales: almacena una carga útil de OYSTERBLUES codificada y ofuscada en el Registro de Windows y descarga OYSTERSHUCK, que actúa como el componente decodificador para la siguiente fase.
Para la desofuscación, se informa que OYSTERSHUCK aplica una secuencia de inversión de cadenas, ROT13 y decodificación de URL antes de restaurar la carga útil de OYSTERBLUES. Una vez decodificado, OYSTERBLUES toma la huella digital de la máquina comprometida recopilando el nombre del dispositivo, el nombre de usuario actual, la versión del sistema operativo, el tiempo desde el último arranque y la lista de procesos en ejecución. Los datos recopilados se envían a un servidor de comando y control a través de HTTP POST, y el servidor responde con JavaScript arbitrario que se ejecuta a través de eval, dando efectivamente a los operadores control remoto sobre el host.
Los informes vinculados a CERT-UA indican además que la siguiente etapa comúnmente involucra la entrega de componentes de Cobalt Strike. Esto se alinea con las tácticas generales documentadas de UAC-0057 / Ghostwriter por ESET, que muestran que el grupo continúa utilizando descargadores de JavaScript entregados por phishing y validación de cargas útiles en etapas antes de desplegar implantes de mayor valor. En otras palabras, el recientemente documentado conjunto de herramientas OYSTER parece extender un patrón post-compromiso ya familiar en lugar de reemplazarlo.
Las elecciones de infraestructura también apoyan la atribución. Los informes sobre el aviso dicen que la capa de comando y control del actor permanece enmascarada detrás de Cloudflare, mientras que muchos de los dominios asociados están registrados en la zona .icu. Junto con el estilo de herramientas de la campaña y el objetivo, estas características son consistentes con la actividad rastreada por CERT-UA como UAC-0057, también conocido públicamente como Ghostwriter, UNC1151, y FrostyNeighbor.
Contexto MITRE ATT&CK
Aprovechar MITRE ATT&CK ayuda a contextualizar la última actividad de phishing UAC-0057 dirigida a organizaciones estatales ucranianas. Basándose en las TTPs descritas en los informes vinculados a CERT-UA, las técnicas ATT&CK más relevantes probablemente incluyen Enlace de Spearphishing (T1566.002), Ejecución por Usuario (T1204), Intérprete de Comandos y Scripts: JavaScript (T1059.007), Almacenamiento basado en Registro o abuso para encenar cargas, Descubrimiento de Información del Sistema (T1082), Descubrimiento de Procesos (T1057), Transferencia de Herramientas de Ingreso (T1105), y Comando y Control sobre Protocolos Web (T1071.001). El probable uso de Cobalt Strike en etapas posteriores también apunta a oportunidades más amplias de post-explotación, persistencia y movimiento lateral una vez establecido el punto de apoyo inicial.
