Tu aplicación necesita atención (y tus contraseñas): ahora los hackers se hacen pasar por el gobierno para obtener acceso encubierto
Expertos detectan en la infraestructura de los atacantes nuevos programas para robar datos y un ransomware.
A comienzos de 2026, los atacantes empezaron a enviar masivamente correos electrónicos haciéndose pasar por organismos estatales ucranianos. A los destinatarios se les ofrece «actualizar aplicaciones móviles» de servicios civiles y militares populares. Detrás de esos mensajes se oculta una campaña maliciosa que utiliza varios programas para robar datos y obtener acceso remoto a computadoras.
Sobre la nueva actividad informó el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania a través del equipo gubernamental de respuesta a incidentes informáticos CERT-UA. El grupo recibió el identificador UAC-0252. Desde enero de 2026, los especialistas registran numerosos correos que supuestamente fueron enviados en nombre de los órganos centrales del poder ejecutivo y las administraciones regionales.
El correo contiene un archivo comprimido con un ejecutable o un enlace a un sitio comprometido. En el segundo caso, el enlace conduce a un recurso legítimo vulnerable a la ejecución de scripts entre sitios. Al acceder, la página ejecuta un script malicioso en JavaScript que descarga un archivo ejecutable en el equipo. Parte de los archivos y scripts maliciosos fueron alojados por los atacantes en GitHub, disfrazados de proyectos comunes.
En los ataques se emplean varios programas maliciosos. Entre ellos, programas tipo stealer SHADOWSNIFF y SALATSTEALER, que roban credenciales y otra información confidencial. También se detectó un backdoor primitivo, DEAFTICK, escrito en Go. Esta combinación permite a los atacantes acceder al sistema infectado y recopilar datos del usuario.
Al estudiar la infraestructura, los especialistas encontraron en uno de los repositorios de GitHub otra herramienta sospechosa. Se trata de un programa con rasgos de cifrador denominado internamente «AVANGARD ULTIMATE v6.0». Allí también había un archivo comprimido con un exploit para la vulnerabilidad del archivador WinRAR (CVE-2025-8088), lo que indica intentos de usar diferentes métodos de infiltración en los sistemas.
El análisis de las herramientas y la infraestructura permitió vincular la campaña con la actividad de personas que publican material en el canal de Telegram PalachPro. CERT-UA continúa monitoreando la actividad del grupo identificado como UAC-0252.