Cuando tu "administrador" es un espía: cómo Remcos, un software legal, se convirtió en la herramienta preferida de los hackers en Ucrania
Ciberdelincuentes hacen pasar infecciones por solicitudes del Parlamento de Ucrania y ocultan el código malicioso tras procesos “legítimos” de Windows.
Las estructuras militares y estatales volvieron a quedar en el punto de mira de un ataque cibernético dirigido, en el que los atacantes explotaron uno de los temas más sensibles para los ciudadanos. Esos mensajes se usaron como cebo en una nueva campaña de phishing detectada por especialistas en ciberseguridad.
El ataque se atribuye al grupo Hive0156. Según los datos de los especialistas chinos del 360 Threat Intelligence Center, en 2025 el grupo lleva a cabo una caza de datos especialmente intensa dirigida a organizaciones militares y gubernamentales. En esta ocasión los atacantes también se centraron en la Verkhovna Rada.
El canal primario de distribución del ataque fue la popular aplicación de mensajería Viber. A las posibles víctimas les enviaron un archivo comprimido con un nombre de aspecto inofensivo, en cuyo interior había accesos directos disfrazados de documentos oficiales del parlamento. Entre ellos había supuestas solicitudes de la Verkhovna Rada, escaneos de cartas de familiares de militares fallecidos y adjuntos con listas de bajas de los últimos años. El tema se eligió para provocar una respuesta emocional y el deseo de abrir el archivo de inmediato.
Al hacer clic, el usuario veía el documento esperado, pero paralelamente se iniciaba una compleja cadena de infección en el sistema. En segundo plano se ejecutaban scripts de PowerShell y se descargaban componentes adicionales desde servidores remotos. Para eludir los mecanismos de protección se emplearon técnicas avanzadas como DLL sideloading, transiciones de control no estándar y la sustitución del contenido de módulos del sistema legítimos directamente en memoria.
El cargador HijackLoader desempeñó un papel clave en el ataque. Se encargaba de verificar el entorno, intentar eludir los antivirus, persistir en el sistema mediante el programador de tareas y preparar la fase final de la infección. Para ocultar la actividad maliciosa, el código imitaba activamente el comportamiento de bibliotecas legítimas de Windows, alteraba la pila de llamadas e incluso generaba dinámicamente nombres de variables de entorno, haciendo que cada instalación fuera única.
El objetivo final de la operación era la instalación del troyano de acceso remoto (RAT) Remcos, que se vende oficialmente como una herramienta de administración, pero que desde hace tiempo se utiliza activamente en campañas de espionaje. Tras la infección, Remcos otorga al atacante control total del sistema, incluyendo el robo de datos, la ejecución remota de comandos, la supervisión de la pantalla y la presencia persistente en el sistema. El control se realiza mediante un panel gráfico fácil de usar, lo que permite tanto automatizar la recopilación de información como trabajar manualmente con objetivos concretos.
Los analistas chinos señalan que todos los elementos del ataque encajan bien con la firma habitual de UAC-0184: la elección de las víctimas, el uso de mensajeros para entregar archivos maliciosos, los cebos característicos presentados como documentos militares y jurídicos oficiales y la combinación de HijackLoader con Remcos. La suma de estos factores permite atribuir la campaña a ese grupo con alta certeza.
Los especialistas subrayan una vez más que este tipo de ataques se dirigen no a vulnerabilidades técnicas, sino a la confianza y al estado emocional de las personas. En contextos concretos, temas como el destino de los fallecidos y las compensaciones a las familias se convierten en una herramienta especialmente poderosa de ingeniería social. Esto convierte la ciberamenaza no solo en un asunto técnico, sino también profundamente psicológico.
Las huellas digitales son tu debilidad, y los hackers lo saben