La Campaña WRECKSTEEL Utiliza Correos Falsos de Recursos Humanos para Espiar Sistemas del Gobierno Ucraniano

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha emitido una alerta sobre una sofisticada campaña de ciberataques que ha estado apuntando activamente a agencias gubernamentales ucranianas y otras infraestructuras críticas desde 2024. 

Los atacantes detrás de esta campaña, identificados como UAC-0219, han desplegado una herramienta de robo de datos conocida como WRECKSTEEL, utilizando técnicas de phishing y scripts alojados públicamente para robar datos e imágenes de las pantallas de los ordenadores comprometidos. 

La Ingeniería Social Lidera el Ataque 

Según CERT-UA, la cadena de ataque comienza con un correo de phishing bien diseñado, que a menudo suplanta a agencias conocidas o departamentos de Recursos Humanos. Los correos abordan temas administrativos —como cambios salariales— e incluyen un enlace a un archivo alojado en un servicio público de compartición de archivos que aparenta ser legítimo, como DropMeFiles. 

El objetivo principal del correo es convencer al destinatario de que es real y relevante, usando un tema que resulte de interés. 

Las víctimas que hacen clic en el enlace son dirigidas a descargar un archivo malicioso disfrazado como documento. A pesar de nombres como "Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_platy_27_03_PDF.js", el archivo no es un PDF, sino un cargador basado en VBScript dentro de JavaScript. Una vez abierto, el script lanza una carga útil remota en PowerShell. 

La Carga Útil Roba Archivos y Toma Capturas de Pantalla 

El script de PowerShell —recuperado desde un servidor controlado por los atacantes (http://107[.]189[.]20[.]74/scream.ps1)— ejecuta una serie de tareas para recolectar y exfiltrar datos: 

• Perfil del Sistema: Recopila metadatos como direcciones IP, nombre del equipo, versión del sistema operativo y uso del disco. 
• Búsqueda de Archivos: Examina directorios del usuario (como Escritorio y Documentos) en busca de archivos con extensiones como: 
  *.doc, *.txt, *.pdf, *.xlsx, *.ppt, *.jpg, entre otros. 
• Captura de Pantallas: Utiliza capacidades gráficas de PowerShell para tomar y guardar capturas del escritorio de forma silenciosa. 
• Exfiltración de Datos: Usa curl para transferir los archivos e imágenes recolectados al servidor remoto del atacante. 

Este método permite a los atacantes robar información sensible y monitorear la actividad del usuario durante un periodo prolongado, haciendo que la campaña sea muy difícil de detectar. 

Evolución desde las Técnicas de 2024 

CERT-UA indica que las primeras versiones de este ataque, vistas en 2024, utilizaban ejecutables empaquetados con NSIS. Esos archivos EXE incluían: 

• Un archivo señuelo en formato PDF o JPG 
• Un script de robo basado en VBScript 
• La herramienta gráfica IrfanView (utilizada para capturas de pantalla) 

A partir de 2025, los atacantes han simplificado su arsenal y reemplazado herramientas de terceros con funciones nativas de PowerShell. 

Actor de Amenaza y Perfil de Objetivo

La actividad se atribuye al grupo de amenazas UAC-0219. Este grupo parece estar enfocado en el espionaje y el robo de datos a instituciones públicas y entidades relacionadas con la infraestructura de Ucrania. 

CERT-UA ha clasificado el conjunto de herramientas maliciosas utilizadas en estos ataques bajo el nombre WRECKSTEEL, con variantes conocidas escritas tanto en VBScript como en PowerShell.