Piratas informáticos rusos atacan misión militar en Ucrania utilizando malware de robo de información en dispositivos externos.
Se detectó el infostealer GammaSteel en dispositivos que habían sido infectados.
Investigadores de ciberseguridad han revelado que se detectó una campaña de espionaje cibernético rus o dirigida a una misión militar de un país occidental en Ucrania. Según un informe de la empresa de ciberseguridad, esta operación se inició en febrero de 2025 y probablemente se prolongó durante varias semanas.
El ataque se inició a través de una unidad extraíble infectada, que contenía un archivo malicioso .LNK. Este archivo activó una cadena de infección que permitió la implementación de GammaSteel, un malware de tipo infostealer desarrollado por el colectivo cibernético ruso conocido como Gamaredon, también denominado Shuckworm.
GammaSteel tiene la capacidad de robar documentos en distintos formatos, tales como .DOCX, .PDF, .XLS y .TXT. Adicionalmente, es capaz de tomar capturas de pantalla del dispositivo comprometido y recopilar información crítica sobre herramientas antivirus instaladas y procesos en ejecución. Este malware también logra establecer persistencia en los dispositivos infectados mediante la creación de una nueva entrada en el registro de Windows. Los investigadores apuntaron que los atacantes modificaron un poco sus tácticas para ocultar mejor el software malicioso.
Aunque no se especificó a qué misión militar se dirigió el ataque, ni qué tipo de información podría haberse sustraído, se puede inferir que esta actividad forma parte de un esfuerzo más amplio de guerra cibernética, especialmente considerando la invasión rusa a Ucrania ocurrida hace más de tres años. La agresión por parte de Rusia ha evidenciado cómo la guerra ha evolucionado y se ha trasladado al ámbito digital, convirtiendo el ciberespacio en un nuevo frente de batalla. Los ataques han incluido objetivos como satélites de comunicación, instancias gubernamentales y subestaciones eléctricas.
Por su parte, Ucrania ha respondido a esta ola de ciberataques al intervenir en las transmisiones de televisión y radio rusas para difundir mensajes anti-guerra, manipular aplicaciones de taxis para desplazar numerosas unidades a un mismo punto en Moscú, y filtrar datos de entidades rusas, incluida la controvertida agrupación militar Wagner.
Gamaredon es solo uno de los muchos grupos de ciberataques que han estado activos durante este conflicto, junto a otros como Conti y Sandworm, todos aparentemente vinculados con la GRU, la unidad de inteligencia militar de Rusia.